Segona càrrega útil descoberta de CCleaner Malware

Un nou informe del grup de talos de Cisco suggereix que el pirateig CCleaner era més sofisticat del que es pensava inicialment. Els investigadors van trobar evidències d’una segona càrrega útil durant l’anàlisi del programari maliciós que va dirigir grups molt específics basats en dominis.

El 18 de setembre de 2017 Piriform va informar que la infraestructura de la companyia va distribuir una versió maliciosa del programari de neteja de fitxers CCleaner durant aproximadament un mes.

La infraestructura de la companyia es va veure compromesa i els usuaris que van descarregar la versió 5.33 de CCleaner del lloc web o van utilitzar actualitzacions automàtiques per instal·lar-la, van rebre la versió infectada al seu sistema.

Hem parlat de mètodes per identificar si hi ha instal·lada una versió infectada al sistema. Probablement, el millor indicador, a part de comprovar la versió de CCleaner, és comprovar l’existència de claus de registre sota HKLM SOFTWARE Piriform Agomo.

ccleaner 2nd payload

Piriform va afirmar ràpidament que els usuaris podrien resoldre el problema actualitzant-lo a la nova CCleaner versió sense programari maliciós .

Un nou informe suggereix que això pot no ser suficient.

El grup Talos va trobar proves que l'atac era més sofisticat, ja que tenia com a objectiu una llista específica de dominis amb una segona càrrega útil.

  • singtel.corp.root
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Els investigadors suggereixen que l’atacant es trobava després de la propietat intel·lectual basat en la llista de dominis que pertanyen a empreses d’alta tecnologia.

Curiosament, la matriu especificada conté el domini de Cisco (cisco.com) juntament amb altres empreses tecnològiques d’alt perfil. Això suggereix un actor molt focalitzat després de la propietat intel·lectual valuosa.

Talos Group va suggerir restaurar el sistema informàtic mitjançant una còpia de seguretat creada abans de la infecció. La nova evidència reforça això i els investigadors suggereixen fortament que pot ser que no sigui suficient per actualitzar simplement CCleaner per desfer-se del malware.

Aquestes troballes també donen suport i reforcen la nostra recomanació anterior que els afectats per aquest atac de la cadena de subministrament no haurien de simplement eliminar la versió afectada de CCleaner o actualitzar-la a la versió més recent, sinó que haurien de restaurar-se de còpies de seguretat o reimaginar sistemes per assegurar-se que no eliminin completament no només la versió retrocedida de CCleaner, però també qualsevol altre programari maliciós que pugui ser resident al sistema.

L’instal·lador de l’etapa 2 és GeeSetup_x86.dll. Comprova la versió del sistema operatiu i planta una versió del troià de 32 o 64 bits del sistema en base a la comprovació.

El troià de 32 bits és TSMSISrv.dll, el troià de 64 bits és EFACli64.dll.

Identificació de les càrregues de l’etapa 2

La informació següent ajuda a identificar si s’ha instal·lat una càrrega útil de l’etapa 2 al sistema.

Claus del Registre:

  • HKLM Programari Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Programari Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Programari Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Programari Microsoft Windows NT CurrentVersion WbemPerf 004
  • HKLM Programari Microsoft Windows NT CurrentVersion WbemPerf HBP

Fitxers:

  • GeeSetup_x86.dll (Encaix: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Escriptura: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (Enllaç: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
  • DLL al registre: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Carrega útil de l’etapa 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83