Một nhóm hacker chưa biết tên đã tấn công cơ sở hạ tầng của CCleaner và thêm phần mềm độc hại vào các phiên bản 32bit của CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191. Các tệp này có sẵn để tải về từ 15 tháng 8 đến 12 tháng 9. Người dùng đã cài CCleaner trong thời gian này có khả năng rất lớn đã trở thành nạn nhân của vụ tấn công.
Những ai bị ảnh hưởng?
Những người đã tải xuống và cài đặt CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 trong khoảng thời gian kể trên. Avast ước tính số lượng máy bị ảnh hưởng lên đến 2,27 triệu máy.
Phần mềm độc hại trên CCleaner làm gì?
Malware này có tên là Floxif, thu thập dữ liệu từ các máy tính bị lây nhiễm, như tên máy tính, danh sách các phần mềm cài đặt trên máy, danh sách các tiến trình đang chạy trên máy, địa chỉ MAC cho 3 network interface đầu tiên và các ID duy nhất để xác định từng máy tính.
Phần mềm độc hại này cũng tải xuống và thực thi một phần mềm độc hại khác, nhưng Avast nói rằng họ không tìm thấy bằng chứng cho thấy hacker đã từng sử dụng chức năng này.
Làm thế nào để xóa malware trên CCleaner?
Malware được nhúng trực tiếp vào file thực thi của CCleaner. Cập nhật CCleaner lên bản 5.34 sẽ loại bỏ tập tin thực thi cũ và phần mềm độc hại. CCleaner không có hệ thống tự động cập nhật, vì thế người dùng phải tải về và cài đặt CCleaner 5.34 thủ công.
Avast cho biết họ đã phát hành bản cập nhật cho người dùng CCleaner Cloud, và không có vấn đề gì về malware được phát hiện. Phiên bản sạch là CCleaner Cloud 1.07.3214.
Còn gì nữa không?
Phần mềm độc hại chỉ được thực thi nếu người dùng đang sử dụng tài khoản Administrator. Nếu đang sử dụng tài khoản có quyền thấp và cài đặt CCleaner 5.33, bạn cũng không bị ảnh hưởng nhiều. Tuy nhiên, việc cập nhật lên bản 5.34 là cần thiết,
Tại sao phần mềm chống virus không phát hiện malware này?
Mã nhị phân CCleaner bao gồm phần mềm độc hại được ký bằng chứng chỉ kỹ thuật số hợp lệ được Symantec phát hành cho Piriform, vì thế các phần mềm diệt virus không nhận thấy sự khác lạ và do đó không phát hiện ra malware. Hơn nữa hacker này còn sử dụng thuật toán tạo miền (Domain Generation Algorithm - DGA) để nếu máy chủ của chúng bị sập, DGA có thể tạo ra các tên miền mới nhận và gửi thông tin bị đánh cắp.
Người dùng cũng không nhận thấy điều gì bất thường vì mọi thao tác cài đặt được thực hiện tự động giống như bình thường. Tóm lại, tải CCleaner 5.34 tại đây và cài lại ngay nếu bạn đang dùng bản CCleaner 5.33 bị ảnh hưởng nhé.
Avast dính quả malware này khi vừa mới mua lại CCleaner không lâu, một hãng bảo mật, phát hành phần mềm đi kèm với malware, không biết nhóm haker nào mà "thâm nho" thế...
Cập nhật mới nhất: Avast đã chặn được server kết nối với malware.