CCleaner ถูกแฮ็กร่วมเดือน เป็นฐานแพร่กระจายมัลแวร์

Cisco Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงเหตุการณ์ที่แอพพลิเคชัน CCleaner ถูกแฮ็ค และนำไปใช้เป็นฐานสำหรับแพร่กระจายมัลแวร์ Floxif ร่วมเดือน ผู้ใช้กว่า 2.2 ล้านคนได้รับผลกระทบ

CCleaner เป็นโปรแกรมสำหรับลบไฟล์ขยะยอดนิยมของ Piriform บริษัทลูกของ Avast ผู้ให้บริการโปรแกรม Antivirus ชื่อดัง โดยเวอร์ชันที่ถูกแฮ็คเกอร์โจมตีเพื่อใช้เป็นฐานปล่อยมมัลแวร์นั้นคือเวอร์ชัน 5.33 ซึ่งเปิดให้ดาวน์โหลดเมื่อช่วงวันที่ 15 สิงหาคมถึง 12 กันยายนที่ผ่านมา คาดว่ามีผู้ที่ดาวน์โหลดเวอร์ชันดังกล่าวไปประมาณ 2.27 ล้านคน

Cisco Talos ระบุว่า เวอร์ชันดังกล่าวมีการเรียกไปยังโดเมนแปลกๆ ซึ่งตอนแรกทางนักวิจัยคิดว่าเกิดจากการที่ผู้ใช้ดาวน์โหลด CCleaner เวอร์ชันเก๊มาใช้งาน แต่มาทราบภายหลังว่า CCleaner เวอร์ชันนั้นถูกดาวน์โหลดและติดตั้งจากเว็บไซต์ของผู้ผลิตโดยตรง รวมไปถึงมีการเซ็นรับรองด้วย Digital Certificate ที่ถูกต้อง

Cisco Talos เชื่อว่าแฮ็คเกอร์น่าจะทำการแฮ็ค Supply Chain ของ Avast ซึ่งเป็นเจ้าของซอฟต์แวร์ดังกล่าว จากนั้นใช้ Digital Certificate ที่ได้มายืนยัน CCleaner เวอร์ชัน 5.33 ที่ตัวเองฝัง Floxif Trojan ลงไปในเว็บไซต์ของผู้ผลิต ซึ่งจนถึงตอนนี้ยังไม่ทราบแน่ชัดว่า เป็นแฮ็คเกอร์จากภายนอกแอบเจาะระบบของ Avast หรือเป็นคนในเองที่แอบฝังมัลแวร์ไว้ในระบบขององค์กร

Pitiform ได้รับทราบถึงเหตุการณ์ดังกล่าว แล้วออกมาชี้แจงใน Blog ว่า พบมัลแวร์ใน CCleaner เวอร์ชัน 5.33.6162 และ CCleaner Cloud เวอร์ชัน 1.07.3191 ซึ่งวันที่ 13 ทางบริษัทได้ออกเวอร์ชันใหม่ คือ 5.34 และอัปเดตเวอร์ชัน Cloud เป็น 1.07.3214 ส่งผลให้ผู้ใช้ที่ใช้เวอร์ชันล่าสุดไม่ได้รับผลกระทบจากมัลแวร์ Floxif

Floxif เป็น Malware Downloader ซึ่งจะเก็บข้อมูลเครื่องคอมพิวเตอร์ของเหยื่อส่งกลับมายัง C&C Server ไม่ว่าจะเป็นชื่อคอมพิวเตอร์ รายการซอฟต์แวร์ที่ติดตั้ง โปรเซสที่กำลังรัน หมายเลข MAC และหมายเลข ID ของคอมพิวเตอรืนั้นๆ ซึ่งมัลแวร์ดังกล่าวยังสามารถดาวน์โหลดและรันมัลแวร์ตัวอื่นในเครื่องของเหยื่อได้อีกด้วย อย่างไรก็ตาม จนถึงตอนนี้ยังไม่มีหลักฐานว่า Floxif ได้ดาวน์โหลดมัลแวร์ตัวอื่นมาติดตั้งบนเครื่อง

สำหรับผู้ที่ดาวน์โหลดโปรแกรม CCleaner เวอร์ชัน 5.33 ในช่วงเดือนที่ผ่านมานั้น แนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดคือ 5.34 เพื่อแก้ปัญหาดังกล่าว

อ่านรายละเอียดเชิงเทคนิคของ Floxif ได้ที่ http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

ที่มา: https://www.bleepingcomputer.com/news/security/ccleaner-compromised-to-distribute-malware-for-almost-a-month/