Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

CCleaner : un malware plus complexe que prévu, des grandes entreprises visées

Format c:
Internet 4 min
CCleaner : un malware plus complexe que prévu, des grandes entreprises visées
Crédits : maxkabakov/iStock/Thinkstock

Si les premiers éléments d’enquête autour de l’infection de CCleaner laissaient apparaître un danger limité, d’autres dessinent désormais les contours d’une attaque complexe. Le malware, quel qu’il soit, dispose en fait de plusieurs charges virales dont les chercheurs ont encore du mal à percer les défenses.

On apprenait plus tôt dans la semaine que l’outil CCleaner avait distribué pendant un mois un malware dans sa version 5.33 32 bits (ainsi que CCleaner Cloud 1.07.3191). Piriform, éditeur du logiciel et appartenant à Avast, avait présenté ses excuses et avait fourni quelques détails, confirmant surtout la découverte faite par le groupe de sécurité Talos de Cisco. Il indiquait ainsi que ses serveurs avaient été attaqués et qu’une version modifiée de son outil s’était retrouvée en téléchargement.

Nom de l’ordinateur, liste des logiciels installés, mises à jour installées par Windows, processus en cours d’exécution, adresses IP et Mac, architecture et autres informations techniques étaient récupérées par le malware puis envoyées à un serveur de contrôle, mis hors service entre temps. Le caractère des données rendait la fuite peu dangereuse car aucune information personnelle n’était transmise. Ce qui ne signifiait pas pour autant qu’elles étaient inutiles.

Un malware à étapes multiples

La menace est en fait « multistage », c’est-à-dire à étapes multiples. Dans un nouveau rapport publié mercredi soir, Cisco revient avec la suite de ses recherches. Sur un échantillon de 700 000 machines infectés, 20 avaient déclenché la deuxième étape de l’infection, téléchargeant une charge virale supplémentaire à la mission inconnue, présente sous la forme de deux DLL.

Point important, ces ordinateurs appartiennent tous à une liste de grandes entreprises. Cisco ne dit pas lesquelles ont été touchées, mais le malware semble se concentrer sur une liste restreinte de structures telles qu’Intel, Samsung, HTC, VMware, Microsoft, Sony ou encore MSI et Akamai. Hier soir, de nouvelles explications d'Avast/Piriform ont abondé en ce sens, en allant plus loin : puisque le malware est resté disponible pendant un mois, les machines doublement infectées doivent se compter par centaines au moins.

En liant ces informations aux premières, les chercheurs estiment maintenant que ces données techniques servaient probablement à repérer les machines les plus à même d’accueillir le malware. Son véritable objectif est encore inconnu, mais le vol d’informations sensibles est très certainement de la partie. Le code est en grande majorité masqué. De nombreuses techniques anti-débogage et anti-émulation ont également été placées pour ralentir l’analyse et cacher ce qui se trame réellement dans les entrailles du malware.

Selon Cisco, le code contient en tout cas une troisième étape de type « fileless », donc sans fichier enregistré sur le disque. La charge opère exclusivement en mémoire vive et ne doit donc pas laisser de trace. Et si les informations sur la deuxième étape sont peu nombreuses, celles de la troisième sont inexistantes. Les chercheurs tentent actuellement une rétroingénierie pour avoir le fin mot de l’histoire.

Les conseils ont changé

Actuellement, certains signes pointent vers la Chine. Cisco confirme ici une piste explorée par Kaspersky : des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor déjà utilisée par un groupe nommé, selon les cas, APT 17 ou Group 72. Pour l’instant, les indices ne vont pas plus loin, mais l’enquête continue.

Par contre, les conseils sur la manière de se débarrasser du malware ont évolué. Chez Cisco, on n’hésite ainsi plus à recommander un formatage de l’ordinateur si un CCleaner 32 bits a été installé. La version 5.34 de l’outil était vierge de tout problème, et la récente mouture 5.35 se débarrasse du faux certificat (pourtant authentique) utilisé dans la mouture infectée, mais pour les chercheurs du groupe Talos, ce n’est pas suffisant.

Le risque est tout simplement jugé trop grand. L’un des chercheurs, Craig Williams, indique ainsi que la deuxième étape étant encore mal connue, la charge virale qui en découle réalise sans doute des opérations inconnues. Elle déploie de nombreuses techniques pour rester cachée, et on ne peut pas encore dire avec certitude qu’une machine est « guérie » après une simple mise à jour de CCleaner. Curieusement, Piriform/Avast n’évoque pas cette solution drastique.

Une sécurité des serveurs à réviser

L’attaque contre CCleaner montre quoi qu’il en soit une tendance à la hausse pour la pêche aux serveurs de téléchargement. Les pirates, en s’infiltrant dans ces machines, peuvent remplacer directement une version saine par une autre, vérolée. Le serveur devient alors un réservoir d’exécutables contaminés. Le cas a par exemple été déjà rencontré avec Transmission et Handbrake. Même l’arrivée de NotPetya s’est faite de cette manière en juin dernier.

La pression augmente donc sur les éditeurs. Outre la protection des utilisateurs, les entreprises ont tout intérêt à renforcer leurs défenses, car ce type de mésaventure affecte durablement leur image.

57 commentaires
Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 22/09/17 à 09:58:25

ça ferait un super scénario pour Plague Inc :D

Édité par Liara T'soni le 22/09/2017 à 10:00
Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 22/09/17 à 10:00:46

Ça touche les version portable aussi ?

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 22/09/17 à 10:16:08

skankhunt42 a écrit :

Ça touche les version portable aussi ?

c'est une question de version, il faut que tu compares.

Avatar de Jaskier Abonné
Avatar de JaskierJaskier- 22/09/17 à 10:25:51

C'est quand même fort qu'une entreprise spécialisé dans les anti-virus se fassent infecter de cette manière.

A moins que la demoiselle d'Avast n'ait pas mis à jour sa base antivirale :ane:

Avatar de sephirostoy Abonné
Avatar de sephirostoysephirostoy- 22/09/17 à 10:52:23

Avast, c'est bien le virus ultra répandu ? :troll:

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 22/09/17 à 10:54:32

Et l'apocalypse surviendra quand l'ami Piriform nous dira que la mouture 64 pines est elle-aussi infectée :)

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 22/09/17 à 10:56:26

Tu sais que j'ai eu un frisson dans le dos en lisant ton commentaire ?
La sécurité informatique actuelle en prend un gros coup depuis le début de l'année. Je commence sérieusement à flipper.

Avatar de Andrufus Abonné
Avatar de AndrufusAndrufus- 22/09/17 à 11:01:06

"Il voulait supprimer des fichiers temporaires, ça tourne mal, il doit formater son PC !!" :mdr:

Avatar de ElMarcassin INpactien
Avatar de ElMarcassinElMarcassin- 22/09/17 à 11:04:54

J'ai quand même un vague doute à ce sujet. Au boulot, j'ai la version 64 bit et le malware a quand même été détecté.

Avatar de odoc Abonné
Avatar de odocodoc- 22/09/17 à 11:12:11

:sept:

Ca partait bien mais où est le suspense quand on a autant d'info dans le titre ? :non:

"La suppression de fichiers temporaires tourne à la catastrophe"

"Il voulait supprimer des fichiers temporaires, vous ne devinerez jamais la suite"

:mdr:

Il n'est plus possible de commenter cette actualité.
Page 1 / 6