CCleaner атакует Samsung, Microsoft, Sony и Intel

В начале текущей недели стало известно, что популярная во всем мире утилита CCleaner заражена вредоносным ПО, которое распространилось на компьютерах 2,27 миллионов пользователей. Хотя Avast, компания, которая распространяет CCleaner, заявила, что смогла устранить угрозу, прежде чем она успела причинить какой-либо вред, выяснилось, что на самом деле это не совсем так.

Согласно новым данным, CCleaner заражен с целью более грандиозной атаки с некоторыми очень конкретными целями. В новой публикации в своем блоге Talos, компания Cisco сообщает о том, что данная атака вредоносного ПО имеет своей целью крупные технологические компании, включая Samsung, Microsoft, HTC, Sony, Intel и Cisco. Вредоносное ПО было разработано для поиска машин, используемых данными компаниями. Как только оно обнаруживало данные машины, начинался второй этап атаки. В некотором смысле, это хорошая новость для потребителей, которые уже успели загрузить зараженную версию CCleaner, поскольку последние данные свидетельствуют о том, что злоумышленники не охотятся за данными простых пользователей.

С другой стороны, вред нанесенный крупным компаниям в конечном итоге ударит и по конечному потребителю. Сотрудники Cisco, просмотрев журналы сервера по меньшей мере 20 машин, используемых восемью из этих целевых компаний, выяснили, что на них уже развернута атака второго этапа. Фактически, к настоящему времени вредоносное ПО могло заразить сотни машин.

Ни Avast, ни Cisco не могут назвать злоумышленника, хотя Cisco отмечает совпадение кода с образцами вредоносных программ Group 72. Несмотря на то, что этот код, по-видимому, связывает атаку с китайской хакерской группой, Cisco еще не готов предъявлять конкретные обвинения.

Таким образом, данная атака более серьезная, чем первоначально предполагал сам Avast. Хотя компания рекомендует, чтобы пользователи CCleaner просто обновили программу до новейшей версии и обязательно активировали антивирус, она рекомендует, чтобы ее корпоративные клиенты откатили машины на предыдущий образ системы, чтобы убедиться, что вредоносное ПО полностью исчезло.