[已更新] 清理工具CCleaner v5.33版被发现含有恶意代码
知名系统清理工具Piriform CCleaner官方日前发布公告称该软件在8月中旬的版本遭到篡改并添加恶意代码。
遭到篡改的版本号为CCleaner v5.33 Build 6162版,发布日期为8月15日并直到9月11日才被发现并删除掉。
值得注意的是遭到篡改的版本同样具有官方数字签名,因此绝大多数安全软件都会直接放行该版本不会检测。
受影响的用户超过600万:
Piriform CCleaner作为极其流行的清理工具拥有庞大的用户群,该公司在全球整体的用户数约有1.5亿左右。
而遭到篡改的版本发布不到1个月的时间里被下载 600 万次,因此本次事件影响的用户输可以说极其庞大了。
因含有数字签名而安全软件没有进行扫描和拦截, 这也是长达1个月含有恶意代码的版本被发现的原因之一。
攻击者可以远程执行任意代码:
该篡改版本携带的恶意代码位于 CCleaner 主程序中,因此不论是安装版、绿色版或者其他版本均含有病毒。
当用户安装后恶意代码会首先连接攻击者的服务器,然后将用户信息例如系统版本、MAC 地址等进行上传。
如果攻击者有需要的话可以直接下发命令让恶意代码监控用户或者下载其他恶意软件完成特定的攻击需求等。
疑似内部服务器遭到入侵:(以下内容为猜测)
正如我们之前所强调的含有恶意代码的版本具有数字签名,这意味着在签名之前程序包就已经含有恶意代码。
攻击者如果直接入侵下载服务器替换版本那么无法获得签名,因此攻击者可能已经入侵该公司内部的服务器。
在悄悄篡改了内部服务器上的软件代码并植入恶意代码,接着开发商并未进行审查就开始打包并进行了签名。
这似乎说明了 Piriform CCleaner 的开发商内部的开发管理以及数字证书的管理并没有外界想象的那么严格。
安全建议:
建议所有使用Piriform CCleaner的用户立即升级到9月12日发布的 v5.34 Build 6207 版即官方的最新版本。
请注意: 尚不清楚攻击者是否已经下发命令加载其他恶意软件, 因此建议使用安全软件全盘进行扫描查杀。