Avast compartilha nova informação em 2017 Incidente CCleaner: possível carga útil da 3ª etapa

A Avast revelou novos detalhes sobre o hack 2017 CCleaner. Falando em uma conferência no México, os pesquisadores da empresa disseram que descobriram novas evidências para sugerir que os hackers que violaram a infraestrutura da CCleaner estavam se preparando para implantar uma terceira tensão de malware em computadores infectados.

incidente do CCleaner veio à luz em setembro passado, quando as empresas de segurança descobriram que as versões de CCleaner v5.33.6162 e CCleaner Cloud v1.07.3191 de 32 bits tinham sido injetadas com um infostealer.

Um resumo do incidente CCleaner

A Avast disse que 2,27 milhões de usuários instalaram as versões CCleaner contaminadas, mas que o malware coletou apenas informações básicas, como nomes de computadores e dados de domínio.

A empresa descobriu mais tarde que este Infostealer de primeira etapa foi construído como uma ferramenta de sondagem em massa que visa identificar computadores nas redes internas das principais empresas de tecnologia e telecomunicações , como Google, Cisco, Oracle, Intel, Akamai, Microsoft e muitos outros. .

A Avast diz que os invasores implantaram uma carga útil de segundo estágio para apenas 40 desses computadores encontrados nessas redes altamente sensíveis.

Avast, Cisco Talos e Kaspersky disseram que um grupo de ciberespionagem (suspeita chinesa) chamado Axiom estava por trás do hack da infra-estrutura do CCleaner.

Avast detecta terceira tensão de malware

Mas ontem, falando na conferência SAS em Cancun, no México, a Avast diz que detectou evidências de uma terceira tensão de malware.

Esta nova tensão foi encontrada em quatro computadores de funcionários da Piriform, sendo Piriform a empresa por trás do aplicativo CCleaner, que a Avast comprou em julho de 2017.

Essas infecções voltaram para 12 de abril de 2017, e a Avast acredita que foi usado para escutar a rede de Piriform em preparação para o hack principal que seria o verão.

A terceira tensão de malware é chamada de ShadowPad

O nome deste malware é o ShadowPad - uma estrutura de malware multifuncional e modular que vem com muitos plugins que oferecem várias funcionalidades, como recursos de backdoor, keylogging e exfiltração de dados.

O ShadowPad foi detectado pelos pesquisadores da Kaspersky em agosto de 2017 nos servidores do NetSarang, um fabricante de software sul-coreano. De acordo com o Kaspersky, um grupo de ciberespionagem não identificado injetou o ShadowPad no software da NetSarang e estava usando o malware como um backdoor em redes infectadas.

A Avast diz que encontrou arquivos de log ShadowPad nos quatro computadores Piriform infectados. Os arquivos de log continham batidas de teclas criptografadas, o que significa que os invasores implantaram o plugin do keylogger ShadowPad.

Eles também encontraram plugins ShadowPad que poderiam roubar senhas de aplicativos locais, mas também outras ferramentas que poderiam baixar plugins ShadowPad adicionais.

Avast "acredita" que os atacantes também pretendem implantar o ShadowPad

A Avast diz que, enquanto o ShadowPad nunca foi instalado em nenhum dos computadores dos clientes da CCleaner, os especialistas da empresa "acreditavam que era o terceiro estágio pretendido para os clientes da CCleaner", como forma de explorar as redes fechadas das empresas de tecnologia que pretendiam infectar.

Isso não aconteceu, já que vários fornecedores de segurança frustraram os planos da Axiom por detectar as versões CCleaner infectadas. Avast diz que hoje, a cadeia de distribuição CCleaner está protegida.

"Migramos o ambiente de compilação Piriform para a infra-estrutura Avast, substituímos todo o hardware e movemos toda a equipe Piriform para o sistema de TI interno Avast", disse a empresa, detalhando suas medidas de proteção.



יום שישי, מרץ 9, 2018





« חזרה