Die 32-Bit-Ausgabe des Säuberungs- und Optimierungstools CCleaner in Version 5.33.6162 und der Cloud-Version 1.07.3191 hatte laut Hersteller Piriform eine zweistufige Backdoor eingebaut, die Hackern bis vor wenigen Tagen die Ausführung von Code aus der Ferne gestattete.

Diese unautorisierte Infektion des Programmcodes sei direkt auf den Servern von Hersteller Piriform passiert und von dort aus zum ersten Mal am 15. August (5.33.6162) bzw. am 24. August (Cloud-Version 1.07.3191) an die Benutzer von CCleaner verteilt worden. Erst am letzten Dienstag habe der Hersteller durch den verdächtigen Netzwerk-Verkehr diese Modifikationen entdeckt.

Inzwischen ist die Gefahr gebannt

Der Programmhersteller Piriform hält die Gefahr inzwischen für gebannt. Der für den Angriff als Kommandozentrale genutzte Server sei inzwischen nicht mehr online und auch weitere mögliche Angriffsserver seien jetzt auch außerhalb der Kontrolle der Angreifer.

Es wird aber den CCleaner-Nutzern dringend empfohlen, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde schon Ende letzter Woche per automatischem Update bereinigt. Wer genau hinter der Kompromittierung der Server steckt, ist zurzeit noch nicht klar. Piriform hat inzwischen auch eine Strafanzeige gestellt.

Schadsoftware sammelte heimlich Informationen

Piriforms Analysen zeigen, dass sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaner-Programms versteckte. Beim Start des Programms wurde daraus eine DLL extrahiert, die dann selbst in einem eigenen Thread im Kontext von CCleaner lief.

Diese Malware sammelte Informationen wie beispielsweise Computernamen, installierte Software, laufende Prozesse, MAC-Adressen und Admin-Privilegien und verschickte diese dann an ihren entfernten Command-and-Control (CC)-Server.

Offenbar war dieser Server sogar in der Lage, eine weitere Payload durch seine Backdoor auf einen infizierten Rechner einzuschleusen, informiert Piriform. Dabei habe das Piriform-Team aber nicht eine einzige Ausführung dieser Huckepack-Malware beobachten können und nannte deren erfolgreiche Aktivierung deshalb „höchst unwahrscheinlich“.

Das Vorgehen erinnert an NotPetya

Die Methode der Angreifer, schon die Server des Herstellers zu kompromittieren, um den Code mit Schadroutinen zu modifizieren und ihn danach als Update bequem an alle Nutzer verteilen zu lassen, erinnert sehr stark an die von der Ukraine ausgehende Verbreitung des Schädlings NotPetya.

Diese Täter hatten vor drei Monaten ein Modul der in der Ukraine beliebten Steuersoftware MeDoc um Backdoor-Funktionen erweitert, die anschließend über die Update-Funktion der Software verbreitet wurden.