Si vous êtes un utilisateur de CCleaner, le célèbre nettoyeur de PC, vérifiez la version installée sur votre machine. Si vous avez un Windows 32bit et que vous détenez la version CCleaner v5.33.6162 ou CCleaner Cloud v1.07.3191, faites une mise à jour le plus rapidement possible vers CCleaner v5.34 ou CCleaner Cloud 1.07.3214. Ces deux moutures sont en effet vérolées et embarquent un malware potentiellement très dangereux. L’affaire a été détectée par les chercheurs en sécurité de Cisco Talos Intelligence qui, le 13 septembre, a mis la main sur un exécutable CCleaner un peu bizarre. Après analyse, il s’avère que ce binaire embarque une porte dérobée capable d’explorer l’environnement technique du PC infecté et de télécharger un second malware.
En effet, après installation de la version vérolée de CCleaner, le code malveillant va collecter un certain nombre d’informations : nom de la machine, adresse IP, liste de logiciels installés, liste de logiciels actifs, liste d’adaptateurs réseaux, etc. Ces données sont chiffrées et envoyées à un serveur de commande et de contrôle (C2C). Le cas échéant, celui-ci renvoie un second malware qui sera installé, mais sur lequel aucune information n’est disponible à ce jour.
Cisco Talos - Déroulement de l'infection par la version vérolée de CCleanerSelon Cisco Talos, la version vérolée de CCleaner provenait directement des serveurs de Piriform, l’éditeur de cet outil, et elle était authentifié par le bon certificat de sécurité. Il est donc probable « qu’un attaquant externe ait compromis une partie de l’environnement de développement et de compilation » de cette société pour insérer son code malveillant. Une autre hypothèse est celle du traître interne, disposant des accès suffisants pour réaliser la manipulation.
Talos a immédiatement contacté Avast, la maison mère de Piriform, qui a confirmé leur analyse. Les éditeurs ont pris contact avec les forces de l’ordre et les serveurs C2C ont pu être neutralisés dès le 15 septembre. Côté Piriform, les versions vérolées ont bien sûr été supprimées et remplacées par des moutures saines. Mais quid des ordinateurs infectés ? Les versions vérolées ont été diffusées à partir du 15 août. Le malware a donc pu se propager pendant un mois sur un nombre de machines potentiellement important. Piriform revendique en effet 5 milliards de téléchargements et 5 millions d’installations chaque semaine pour son produit phare.
Contacté par 01net.com, Ondrej Vlcek, directeur technique d'Avast, explique que 2,27 millions d’ordinateurs ont été infectés dans cette histoire. En théorie, il se pourrait que certains utilisateurs aient reçus un second malware, plus persistant. Par prudence, les chercheurs de Cisco Talos recommandent donc « de réinstaller les machines et de revenir à une version précédente [du système] ». Mais Avast n’est pas du même avis. « Environ 30 % des clients de CCleaner utilisent également Avast, et nous avons donc une bonne visibilité de ce qui se passe sur ces machines. Après avoir analysé les données comportementales, le trafic et les registres de ces machines, nous pouvons confirmer que, d’après nous, le second malware n’a jamais été activé. Le seul code malveillant présent sur les machines de ces clients est celui embarqué dans le binaire ccleaner.exe », souligne Ondrej Vlcek dans un email. Bref, il suffit donc d’installer la mise à jour pour se débarrasser définitivement de ce problème.
Sources: Cisco Talos, Piriform, 01net
Partager cette page sur les réseaux sociaux
Les commentaires