CCleaner: Nachgeladene Malware hat gezielt Firmen angegriffen

Avast-CEO Vince Steckler und Avast-CTO Ondrej Vlcek haben weitere Erkenntnisse zu dem kürzlich entdeckten Angriff auf das weit verbreitete System-Tool CCleaner veröffentlicht. Das Programm stammt von der Firma Piriform,  die nur wenige Wochen vor dem Angriff von Avast übernommen wurde. Experten des Avast Threat Labs hatten zunächst keine Hinweise darauf gefunden, dass die Angreifer über die erste Etappe, den Aufbau eines Botnets, hinausgekommen sind. Nun liegen jedoch Hinweise vor, dass es ihnen doch gelungen ist, mindestens mehrere Hundert Rechner in ausgewählten Firmen zu infizieren.

Wie bereits Anfang der Woche bekannt gegeben wurde, war es Unbekannten gelungen, in den Versionen CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191 Code einzuschleusen. Die so modifizierten Versionen des Tools gelangten Avast zufolge zwischen 15. August und 15. September 15 auf 2,27 Millionen Computer weltweit. Der eingeschleuste Code diente dazu, mit den Servern der Hintermänner Kontakt aufzunehmen, ihnen System-Informationen über den befallenen Rechner zu übermitteln und gegebenfalls die eigentliche Malware nachzuladen.

Entdeckt hatten den Schadcode beziehungsweise dessen verdächtig erscheinende Tätigkeit nahezu zeitgleich und unabhängig voneinander das Sicherheitsunternehmen Morphisec und Ciscos mit IT-Sicherheitsforschung befasste Sparte Talos. Sie stufte den gefundenen Code als Botnet-Virus ein und gab ihm den Namen “Win.Trojan.Floxif-6336251-0”.

Inzwischen erkennen Antivirenlösungen wie Windows Defender den Schadcode in CCleaner 5.33.6162 (Bild: silicon.de).

Bereits gestern hat Talos weitere Untersuchungen veröffentlicht und darin auch einige der Firmen genannt, die von den Angreifern ins Visier genommen wurden: Neben Cisco selbst waren das auch Samsung, Sony, Intel, MSI, Vodafone, Epson, D-Link, HTC und VMware. In Deutschland hatten es die Kriminellen offenbar auf die Firma Gauselmann abgesehen: Die fertigt Spielautomaten, steht aber auch hinter bekannten Spielotheken-Ketten und ist in den Bereichen Sportwetten und Online-Gaming aktiv. Ein erfolgreicher Angriff könnte daher ausgenutzt werden, um diverse Arten von Betrugsversuchen zu unternehmen.

Auch deutsche Firmen im Visier der Angreifer auf CCleaner

Steckler und Vlcek bestätigen jetzt, dass sich der Angriff nicht gegen die breite Masse der PC-Nutzer, sondern gezielt gegen große Technologie- und Telekommunikationsunternehmen in Deutschland, Japan, Taiwan und den USA richtete. Die Avast-Manager begründen ihre Auffassung mit Daten, die auf den Kontrollservern der Hintermänner der Malware entdeckt wurden, auf die das Avast-Team inzwischen Zugriff hat und die bereits zuvor abgeschaltet wurden. Von der nachzuladenden, eigentlichen Malware sollen aber lediglich einige Hundert Rechner betroffen sein.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Der Angriff auf Cleaner ähnelt damit in vielem dem auf die ukrainische Buchhaltungssoftware M.E. Doc früher in diesem Jahr. Auch da gelang es den Angreifern, bösartigen Code in eine Software einzuschleusen, der die Anwender vertrauen und ihn mit dem Update dieser Software zu verteilen. Der Code wurde auf den durch das eingespielte Update der Sofware M.E. Doc dann genutzt, um die Ransomware Petya/NotPetya zu verteilen.

Bewährte Consumer-Software als neuer Angriffsvektor

Neu ist an dem Angriff auf CCleaner nun, dass eine bei Verbrauchern weit verbreitete Software auf diese Weise angegriffen wurde. Den zweiten Schritt, das Nachladen weiterer, noch gefährlicherer Malware hat Win.Trojan.Floxif-6336251-0 laut Avast allerdings nur auf wenigen hundert Rechnern vollzogen. In den Log-Dateien des übernommenen Kontrollservers haben sich demnach insgesamt 20 Rechner in acht Firmen gefunden, an die die zweite Stufe der Malware ausgeliefert wurde.

Allerdings reichen die Log-Files nur etwas mehr als drei Tage zurück. Über den Zeitraum, in dem die Malware unentdeckt agieren konnte, sind es nach Einschätzung von Avast (das offenbar von einer nahezu gleichmäßigen Infektionsarte pro Tag ausgeht) wahrscheinlich nur mehrere Hundert Rechner. Allerdings war das Unternehmen zunächst davon ausgegangen, dass die zweite Malware überhaupt nie nachgeladen wurde. Diese Einschätzung erwies sich nun als falsch.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Über die Natur der zweiten Stufe der Malware macht Avast aus ermittlungstaktischen Gründen kaum Angaben. Zusammen mit Behörden werte man nun noch die Daten aus und sei dabei, die Spur zu den Angreifern zurückzuverfolgen. Bekannt gegeben wurde jedoch, dass sich auch diese Malware wiederum aus zwei Bausteinen zusammensetzt.

Schadcode in CCleaner besonders ausgefeilt

Der erste sorge dafür, dass die Schadsoftware außergewöhnlich gut in der Lage sei, sich vor Entdeckung zu schützen. Der zweite sei dafür zuständig, die dauerhafte Installation auf den Zielsystemen zu gewährleisten. Dazu werden auf Windows XP und Windows 7 und neuer unterschiedliche Mechanismen genutzt. Unter Windows XP wird die Binärdatei als “C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” gespeichert und der Code nutzt den “Spooler”-Dienst um zu starten. Unter Windows 7 und höher wird die Binärdatei unter “C:\Windows\system32\lTSMSISrv.dll” abgelegt und ist ihr Start mit dem Aufruf des NT-Services “SessionEnv” (einem RD-Dienst) verbunden.

Die Struktur der DLLs bezeichnet Avast als “recht interessant”. Sie seien im Huckepack-Verfahren in Code anderer Hersteller injiziert und nutzten für ihre bösartigen Funktionen legitime und erwünschte DLLs. Beispielsweise wird der 32-Bit-Code durch VirtCDRDrv32.dll gestartet, das Teil von Corels WinZi-Software ist. Der 64-Bit-Code nutzt mit EFACli64.dll Teile eines Symantec-Produkts. Der weitaus größte Teil des gefährlichen Codes wird in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4] abgelegt. All das zeigt laut Avast die Professionalität der Angreifer.

Verbrauchern empfiehlt Avast weiterhin das Update auf die aktuelle Version 5.35 von CCleaner und den Einsatz eines hochwertigen Antiviren-Tools, die die Restbeständer der Schadsoftware findet und löscht. In Unternehmen hängen die zu ergreifenden Maßnahmen von der jeweiligen IT-Sicherheitsstrategie ab.

Loading ...
Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago