Avast a donné ses conclusions sur l’attaque par malware contre CCleaner

Publié le

Rappelez-vous ! L’année dernière, CCleaner a été victime d’une salle histoire de malware qui lui a valu une bien mauvaise presse juste après son rachat par Avast. Le logiciel d’optimisation avait déployé une mise à jour qui cachait en fait un malware dont le but était de réussir à s’infiltrer sur l’ordinateur des victimes. Évidemment, tout cela s’est déroulé à l’insu de Piriform (puis d’Avast après le rachat) mais le mal était fait. Mais les équipes de recherche du logiciel ont décidé d’enquêter pour en savoir plus sur la manière de procéder des cybercriminels qui ont pris CCleaner pour cible.

Une attaque en plusieurs étapes

Après plusieurs mois d’analyses, Avast a réussi à reconstituer les différentes étapes de l’attaque. Ainsi, le malware aurait réussi à s’infiltrer sur le réseau de Piriform entre le 11 mars et le 4 juillet soit plusieurs mois avant le rachat par Avast.

Dès lors, il a commencé à récupérer des informations sur les utilisateurs de CCleaner comme par exemple le nom des ordinateurs, les logiciels installés ou encore la liste des processus en cours d’exécution. Par la suite, un fichier binaire a été envoyé sur une sélection de 40 ordinateurs ce qui en fait une attaque très ciblée. Sur certains ordinateurs infectés chez Piriform, des traces d’un outil appelé ShadowPad ont été trouvées. ShadowPad est une plateforme de cyberattaques que les hackers déploient sur les machines des victimes pour pouvoir en prendre le contrôle.

CCleaner

Les chercheurs ont également mis la main sur des logs de ShadowPad qui montrent qu’un enregistreur de frappe avaient été installé sur les ordinateurs et qu’il était actif depuis le 12 avril 2017. Les cybercriminels ont, ainsi, pu recueillir de nombreuses données à la fois sur les travaux en cours mais aussi des mots de passe. Toutefois, les seules vraies victimes de ce malware ont été, au bout du compte, les 40 machines qui ont été infectées. Les chercheurs pensent que la dernière étape du processus était de déployer les mêmes programmes malicieux sur tous les utilisateurs qui ont téléchargé la version de CCleaner infectée soit environ 2.27 millions de personnes.

Avast sécurise les serveurs de Piriform

Pour stopper le malware et surtout pour éviter que la situation ne se reproduise, Avast a profité du rachat pour migrer toute l’infrastructure de Piriform. Ainsi, toutes les machines utilisées pour développer CCleaner ont été analysées et désinfectées ce qui a permis de trouver les informations mentionnées plus haut.

A présent, Avast utilise ses connaissances en matière de sécurité pour protéger encore plus le logiciel d’optimisation. Il faut dire que le nombre d’utilisateurs de CCleaner dans le monde est impressionnant et que c’est un vecteur d’infection idéal pour les hackers. La dernière version à jour de Ccleaner est disponible en téléchargement sur Logitheque.

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet