サイバー犯罪者が CCleaner バージョン 5.33 に感染

アンチマルウェアを偽装したマルウェア

CCleaner は PC からアドウェアや他の種類のマルウェアをクリーン・アップし、最適化されたプロセスを維持するための人気のツールとして広く知られていますが、サイバー犯罪者の攻撃を逃れることができませんでした。8 月15 日から 9 月 12 日までの間にバージョン 5.33 をダウンロードした全てのユーザーが、Floxif マルウェアに捕まるリスクを犯したことになるのです。

アメリカ、ロシア、および西ヨーロッパの各国および地域ではこのソフトウェアが大いに人気を博していることから、200 万人以上のユーザー が感染したようです。32 ビット・システムのみが感染したわけですが、全てのユーザーにソフトウェアを最新版に更新されるようお勧めいたします。

Floxif ウィルスは何をするの？

IT リサーチャーにより、Floxif ウィルスが被害者に関する技術的な情報に関するデータを収集し、それをリモートの C&C サーバーに送っていることが分かっています。感染したバージョンを特定した Cisco Talos のリサーチャーは、このマルウェアが 216.126.225.148 という特定の IP アドレス にリクエストを送っていることを発見しました。

当初、感染したバージョンは有効なデジタル署名で記載されていたために何ら疑いをもたせるようなことはありませんでした。そこで、このマルウェアは Piriform (この脅威の元の開発者で、現在は Avast が所有) によって発行された、いわゆるバージョン 5.33 として配布されました。

さらに、ソフトウェアに埋め込まれたウィルスは、実行される前に 601 秒待つのです。これはサンドボックスを回避するために行われていました。面白いことに、Floxif ウィルスは管理者権限を持つシステムでのみウィルスを実行しました。

更新プロセスをダウンロードして実行した後、マルウェアは既存の CBkdr.dll を見つけ、感染しているものと置き換えます。情報を追跡し、それをサーバーに転送する以外に、このウィルスは他には何の動きも示さないのです。

サイバー・セキュリティの専門家は、マルウェアがどうやって Avast のアンチマルウェア検出システムをうまく通り抜けたかについて疑問を抱いています。攻撃主がこのソフトウェア開発にアクセスを持つインサイダーと疎通していたのではないかと疑う者もいます 。

もう CCleaner をダウンロードしても安全なの？

バージョン 5.33 のインストーラは今でもご利用いただけますが、マルウェアは正常に除去されています。Avast ではすでに 9 月 13 日の時点でバージョン 5.34 を発表しています。

ツールが合法的なバージョンとして提示されるため、一般のユーザーにはその侵入を防ぐチャンスがありませんでしたが、次のアドバイスが役に立つでしょう:

• 別々のマルウェア予防措置および除去ツールを複数用意しておく
• 公式サイトからダウンロードし、発行されたらすぐに最新版をインストールする