ウイルス対策会社アバストは、人気のPCチューンアップツールCCleanerのトロイの木馬版を約1か月間誤って配布し、推定227万人のユーザーに感染させたことを認めた。
Cisco Talos は、このプログラムを配布するサーバーが、何も知らない被害者にマルウェアを配布するために利用されていることを発見しました。
「一時期、Avastが配布していたCCleaner 5.33の正規署名版にも、CCleanerのインストール時に悪用される多段階のマルウェアペイロードが含まれていました」と研究者らは説明した。「2017年9月13日、Cisco Talosは直ちにAvastに調査結果を通知し、適切な対応活動を開始できるようにしました。」
CCleaner は 20 億回以上ダウンロードされており、毎週 500 万回の追加ダウンロードが行われています。
Cisco Talosは、新しいエクスプロイト検出技術のベータテスト中に、悪意のあるダウンロードを発見したと発表した。その後の分析で、ハッカーが8月15日から9月12日の間にダウンロード可能だったAvastのCCleanerアプリケーションのバージョンを乗っ取り、マルウェアを隠していたことが明らかになった。
この期間中にバージョン 5.33 をダウンロードした人や、既存の製品をアップデートした人は、オンラインでのあらゆる行動をスパイできる秘密のバックドアに感染しました。
Cisco Talosは9月13日にAvastに連絡を取りました。このマルウェア対策専門家は、侵害されたコードを削除するために迅速に対応しました。しかし、感染したユーザーは依然としてリスクにさらされており、システムのクリーンアップが必要です。汚染されたダウンロードには、Floxifマルウェアのバージョンが含まれていました。
情報セキュリティ企業のMorphisecも、8月にCCleaner.exeのインストールを確認したと述べ、同社に通知した。
マルウェアのプロセスフロー [出典: Cisco Talos]
この不正なソフトウェアは、シマンテックがPiriform Ltdに発行した有効な証明書を使用して署名されていました。CCleanerの元の開発元であるPiriformは、最近Avastに買収されました。
Avastは声明の中でこの問題を認め、ユーザーはソフトウェアの新バージョンをインストールするだけで保護されると付け加えました。詳細は、CTO兼CEOによるブログ記事をご覧ください。
AvastのCTO、オンドレイ・ヴルチェク氏はThe Registerに対し、「第2段階のペイロードが起動した兆候は見られない」ため、Cisco Talosが推奨するクリーンインストールは不要だと述べた。ヴルチェク氏は、影響を受けた227万人は「ユーザー全体と比較すると少数」だが、その多くはソフトウェアを最初からインストールしたユーザーだったと付け加えた。
この攻撃は、消費者がソフトウェア供給者に対して抱いている信頼を悪用するものであり、これまでにも見られてきた攻撃経路であるため、特に危険です。
「6月下旬に発生したNyetyaマルウェアと同様に、今回の攻撃者は正規の信頼できるアプリケーションをハッキングし、悪意のあるものに仕立て上げました」とCisco Talosは結論づけています。「こうしたタイプの攻撃が成功する理由は、消費者が広く知られ、広く利用されているアプリケーションは安全だと信じているからです。」®
