Piriform CCleaner マルウェアに感染したファイルを配布してしまう

このサイトを検索 | Search this site

Piriform CCleaner マルウェアに感染したファイルを配布してしまう

Piriform CCleaner の失態

CCleaner の開発元 Piriform はマルウェアに感染したファイルを公式サーバーで配布していたことを発表しました。

問題は2017年9月12日に発見され、該当バージョンの利用者は 227万人です。

マルウェアに感染しているのは 32bit版の以下のバージョンです。64bit版については言及されていません。

2段階のバックドアが仕込まれています。

32bit - CCleaner v5.33.6162
32bit - CCleaner Cloud v1.07.3191

上記バージョンは米国内の第三者が設置したサーバー (216.126.xxx.xxx) に以下の情報を送信するよう改ざんされていました。

既に該当サーバーは閉鎖されています。

computer name
IP address
list of installed software
list of active software
list of network adapters

Avast に買収されていた Piriform

Piriform はセキュリティソフトウェア会社Avastに買収されていました。

そしてマルウェア感染を発見したのは Avast Threat Labs でした。

マッチポンプ的な要素が見られるので Avast社の内部犯行でないことを祈ります。

収集されたすべての情報は暗号化され、カスタムアルファベットでbase64でエンコードされました。エンコードされた情報は、外部IPアドレス216.126.xx（このアドレスはペイロードにハードコードされており、ここでは最後の2オクテットを意図的にマスクしています）にHTTPS POSTリクエストを介して送信されました。

また、 "Host：speccy.piriform.com"への[偽の]参照があった。
技術解説blog

Piriform - Security Notification for CCleaner

Piriform社の弁明を転載します。

Google翻訳

Monday, September 18, 2017

私たちは最近、Piriform CCleaner v5.33.6162とCCleaner Cloud v1.07.3191の古いバージョンが侵害されたと判断しました。

影響を受けるソフトウェアを使用した人数は227万人です。私たちはこれを迅速に解決し、ユーザーの皆様に危害はなかったと考えています。

この妥協は、CCleanerのv5.33.6162とCCleaner Cloudのv1.07.3191の32ビット版のお客様にのみ影響を与えました。その他のPiriformまたはCCleaner製品は影響を受けませんでした。

CCleaner v5.33.6162の32ビット版のユーザーは、v5.34をダウンロードすることをお勧めします。

我々は謝罪し、これが再び起こらないように特別な措置を取る。

～中略～

この妥協は、米国内の第三者のコンピュータサーバに機密性のないデータ（コンピュータ名、IPアドレス、インストールされたソフトウェアのリスト、アクティブなソフトウェアのリスト、ネットワークアダプタのリスト）を送信させる可能性があります。

We recently determined that older versions of our Piriform CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 had been compromised. We estimate that 2.27 million people used the affected software. We resolved this quickly and believe no harm was done to any of our users. This compromise only affected customers with the 32-bit version of the v5.33.6162 of CCleaner and the v1.07.3191 of CCleaner Cloud. No other Piriform or CCleaner products were affected. We encourage all users of the 32-bit version of CCleaner v5.33.6162 to download v5.34 here: download. We apologize and are taking extra measures to ensure this does not happen again.
～中略～
The compromise could cause the transmission of non-sensitive data (computer name, IP address, list of installed software, list of active software, list of network adapters) to a 3rd party computer server in the USA.
Piriform.com

技術解説

Technical description
An unauthorized modification of the CCleaner.exe binary resulted in an insertion of a two-stage backdoor capable of running code received from a remote IP address on affected systems.
The suspicious code was hidden in the application’s initialization code called CRT (Common Runtime) that is normally inserted during compilation by the compiler. This code modification was executed by the following function calls (functions marked by red represent the CRT modifications):
piriform.com