CCleaner v5.33 & CCleaner Cloud v1.07 infection via malware

Logiciels concernés: CCleaner v5.33 (32-bit) en CCleaner Cloud v1.07 (32-bit)

Sources

- Communication officielle d’Avast : https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident et https://blog.avast.com/progress-on-ccleaner-investigation
- Résumé technique : http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

Risques

Les systèmes infectés s’exposent à des vols d’information (sensible), une compromission du système hôte ainsi qu’au risque d’intégrer un réseau de bots.

Résumé

Ce lundi 18 septembre 2017, Piriform a lancé une alerte concernant une infection de la version 32-bit de leur logiciel ‘CCleaner’ (v5.33) ainsi que la version v1.07 de leur logiciel ‘CCleaner Cloud’. Ces versions spécifiques étaient disponibles sur leur site web entre le 15 août et le 12 septembre.

Les utilisateurs ayant installés une de ces versions spécifiques du logiciel durant la période susmentionnée courent le risque d’être infectés. Entre-temps cette infection a été identifiée comme appartenant à une opération de plus grande envergure où les machines ciblées ont téléchargées des "payload" supplementaires.

Après une analyse préliminaire, il semble que les utilisateurs d’un OS 64-bit ayant installé la version 32-bit n’aient pas été infecté par le malware. Nous recommandons toutefois de tout de même scanner les systèmes à risques pour détecter une éventuelle infection.

Actions préconisées

Les utilisateurs ayant installé une des versions infectées sont encouragés à restaurer leurs systèmes compromis depuis une sauvegarde antérieure au 15 août, si ce n’est pas possible une réinstallation du système compromis peut s’avérer nécessaire. Enfin, mettre à jour le logiciel dans sa version la plus récente.

Indicators of compromise (IOCs)

Crédit: https://talosintelligence.com

File Hashes:
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

Domaines DGA:
ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

Addresses IP:
216[.]126[.]225[.]148

La firme de cybersécurité NVISO (https://www.nviso.be/) a créé un set de ‘YARA-rules’ afin d’aider à détecter les éventuelles infections.


import "hash"
rule ccleaner_compromised_installer {
	condition:
		filesize == 9791816 and hash.sha256(0, filesize) == "1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff"
}
rule ccleaner_compromised_application {
	condition:
		filesize == 7781592 and hash.sha256(0, filesize) == "36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9" or
		filesize == 7680216 and hash.sha256(0, filesize) == "6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9"
}
rule ccleaner_compromised_pdb {
	strings:
		$a = "s:\\workspace\\ccleaner\\branches\\v5.33\\bin\\CCleaner\\Release\\CCleaner.pdb" 
		$b = "s:\\workspace\\ccleaner\\branches\\v5.33\\bin\\CCleaner\\ReleaseTV\\CCleaner.pdb" 
	condition:
		uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and ($a or $b)
}