Le logiciel populaire CCleaner a été la victime d’un piratage chez Piriform. Comme nous vous l’expliquions la version 5.33.6162 est considérée comme dangereuse. Dans un premier temps, l’affaire paraissait importante mais tout en restant limitée. Les conclusions de nouvelles recherches dévoilent une réalité tout autre.
L’outil de nettoyage CCleaner a été utilisé comme un vecteur d’infection. L’affaire concerne une version en particulier CCleaner 5.33.6162. Piriform a confirmé que les itérations publiées en août étaient compromises. Il est ainsi conseillé à l’ensemble des utilisateurs de CCleaner v5.33.6162 ou de CCleaner Cloud v1.07.3191 de télécharger le plus rapidement possible les dernières versions. En parallèle une porte-parole a déclaré que 2,27 millions d’utilisateurs avaient téléchargé cette itération d’aout contre 5 000 pour la version Cloud.
Des chercheurs viennent de livrer les conclusions de leur étude. Cette version compromise de CCleaner avait un objectif bien particulier, celui de mettre en œuvre un espionnage industriel. Plusieurs grandes firmes sont mentionnées comme Google, Sony, Intel, ou encore Microsoft.
CCleaner, une popularité au service de l’espionnage industriel
Assez rapidement il a été mentionné que l’utilitaire était exploité principalement pour collecter des données et non déployer d’autres outils de piratage sur la machine infectée.
La version corrompue a profité d’un mois de liberté avant que la manœuvre soit découverte. L’évaluation des « dégâts » indique que l’objectif a été de collecter un maximum de données. Toutes ces informations ont ensuite été envoyées vers un serveur. Pour le moment, personne ne sait réellement qu’elles sont les « intentions » autour de ces données.
La division de sécurité Talos de Cisco a découvert un deuxième visage à cette attaque. Le malware CCleaner a été conçu pour pénétrer la sécurité de grandes sociétés. Il n’est pas impossible que cela s’est produit.
CCleaner est si populaire que son usage en entreprise est répandu. Cela signifie qu’il n’est pas rare d’observer sa présence sur des postes de travail de grands groupes comme Microsoft, Intel, Sony, Cisco, VMWare ou encore Samsung. Cette découverte ne permet pas encore d’entrevoir le niveau de piratage réussi. Si certains parlent déjà d’un « espionnage industriel sur une échelle difficile à imaginer » restons prudent.
Enfin la question de l’origine de l’attaque est également sans réponse. De manière générale l’identification de pirates est toujours difficile. L’analyse de cette version corrompue dévoile cependant des méthodes et des modèles connus et appartenant à une entité dénommée “Group 72”.
Désolé mais c’est évident que ça ne peut venir que d’Apple un tel truc. Ça fait un moment que j’ai des soupçons sur l’origine de toutes ces attaques mais là ça saute trop aux yeux. Ça correspond exactement aux principaux concurrents d’Apple. Et qui brille par son absence sur cette liste? En fait ils sont précisément trois : Apple, Facebook et Twitter. Ceux qui contrôlent la presse et espionnent les gens constamment et massivement. Apple-Facebook-Twitter : le vrai Big Brother. Sinon j’attends vos explications…
Normal qu’ils se servent de CCleaner car ils infectent sans arrêt la base de registre via les clés de Firefox et Chrome qui sont des nids à malwares. Ensuite les victimes utilisent CCleaner (sans doute suggéré par de la pub ciblée malveillante, le milieu de la com’ et de la pub soumis à Apple est peu regardant sur les malwares voire complaisant, pour ne pas dire complice car la plupart des malwares viennent de bannières de pub infectées) pour se débarrasser des liens qui s’ouvrent automatiquement et polluent leurs navigateurs. Chrome et Firefox sont eux-mêmes des chevaux de Troie.
Pourquoi ressortir un vieux truc de 2017?