CCleaner: Nachgeladene Malware hat gezielt Firmen angegriffen

Avast-CEO Vince Steckler und Avast-CTO Ondrej Vlcek haben weitere Erkenntnisse zu dem kürzlich entdeckten Angriff auf das weit verbreitete System-Tool CCleaner veröffentlicht. Das Programm stammt von der Firma Piriform,  die nur wenige Wochen vor dem Angriff von Avast übernommen wurde. Experten des Avast Threat Labs hatten zunächst keine Hinweise darauf gefunden, dass die Angreifer über die erste Etappe, den Aufbau eines Botnets, hinausgekommen sind. Nun liegen jedoch Hinweise vor, dass es ihnen doch gelungen ist, mindestens mehrere Hundert Rechner in ausgewählten Firmen zu infizieren.

Wie bereits Anfang der Woche bekannt gegeben wurde, war es Unbekannten gelungen, in den Versionen CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191 Code einzuschleusen. Die so modifizierten Versionen des Tools gelangten Avast zufolge zwischen 15. August und 15. September 15 auf 2,27 Millionen Computer weltweit. Der eingeschleuste Code diente dazu, mit den Servern der Hintermänner Kontakt aufzunehmen, ihnen System-Informationen über den befallenen Rechner zu übermitteln und gegebenfalls die eigentliche Malware nachzuladen.

Entdeckt hatten den Schadcode beziehungsweise dessen verdächtig erscheinende Tätigkeit nahezu zeitgleich und unabhängig voneinander das Sicherheitsunternehmen Morphisec und Ciscos mit IT-Sicherheitsforschung befasste Sparte Talos. Sie stufte den gefundenen Code als Botnet-Virus ein und gab ihm den Namen “Win.Trojan.Floxif-6336251-0”.

Bereits gestern hat Talos weitere Untersuchungen veröffentlicht und darin auch einige der Firmen genannt, die von den Angreifern ins Visier genommen wurden: Neben Cisco selbst waren das auch Samsung, Sony, Intel, MSI, Vodafone, Epson, D-Link, HTC und VMware. In Deutschland hatten es die Kriminellen offenbar auf die Firma Gauselmann abgesehen: Die fertigt Spielautomaten, steht aber auch hinter bekannten Spielotheken-Ketten und ist in den Bereichen Sportwetten und Online-Gaming aktiv. Ein erfolgreicher Angriff könnte daher ausgenutzt werden, um diverse Arten von Betrugsversuchen zu unternehmen.

Auch deutsche Firmen im Visier der Angreifer auf CCleaner

Steckler und Vlcek bestätigen jetzt, dass sich der Angriff nicht gegen die breite Masse der PC-Nutzer, sondern gezielt gegen große Technologie- und Telekommunikationsunternehmen in Deutschland, Japan, Taiwan und den USA richtete. Die Avast-Manager begründen ihre Auffassung mit Daten, die auf den Kontrollservern der Hintermänner der Malware entdeckt wurden, auf die das Avast-Team inzwischen Zugriff hat und die bereits zuvor abgeschaltet wurden. Von der nachzuladenden, eigentlichen Malware sollen aber lediglich einige Hundert Rechner betroffen sein.

Der Angriff auf Cleaner ähnelt damit in vielem dem auf die ukrainische Buchhaltungssoftware M.E. Doc früher in diesem Jahr. Auch da gelang es den Angreifern, bösartigen Code in eine Software einzuschleusen, der die Anwender vertrauen und ihn mit dem Update dieser Software zu verteilen. Der Code wurde auf den durch das eingespielte Update der Sofware M.E. Doc dann genutzt, um die Ransomware Petya/NotPetya zu verteilen.

Bewährte Consumer-Software als neuer Angriffsvektor

Neu ist an dem Angriff auf CCleaner nun, dass eine bei Verbrauchern weit verbreitete Software auf diese Weise angegriffen wurde. Den zweiten Schritt, das Nachladen weiterer, noch gefährlicherer Malware hat Win.Trojan.Floxif-6336251-0 laut Avast allerdings nur auf wenigen hundert Rechnern vollzogen. In den Log-Dateien des übernommenen Kontrollservers haben sich demnach insgesamt 20 Rechner in acht Firmen gefunden, an die die zweite Stufe der Malware ausgeliefert wurde.

Allerdings reichen die Log-Files nur etwas mehr als drei Tage zurück. Über den Zeitraum, in dem die Malware unentdeckt agieren konnte, sind es nach Einschätzung von Avast (das offenbar von einer nahezu gleichmäßigen Infektionsarte pro Tag ausgeht) wahrscheinlich nur mehrere Hundert Rechner. Allerdings war das Unternehmen zunächst davon ausgegangen, dass die zweite Malware überhaupt nie nachgeladen wurde. Diese Einschätzung erwies sich nun als falsch.

Über die Natur der zweiten Stufe der Malware macht Avast aus ermittlungstaktischen Gründen kaum Angaben. Zusammen mit Behörden werte man nun noch die Daten aus und sei dabei, die Spur zu den Angreifern zurückzuverfolgen. Bekannt gegeben wurde jedoch, dass sich auch diese Malware wiederum aus zwei Bausteinen zusammensetzt.

Schadcode in CCleaner besonders ausgefeilt

Der erste sorge dafür, dass die Schadsoftware außergewöhnlich gut in der Lage sei, sich vor Entdeckung zu schützen. Der zweite sei dafür zuständig, die dauerhafte Installation auf den Zielsystemen zu gewährleisten. Dazu werden auf Windows XP und Windows 7 und neuer unterschiedliche Mechanismen genutzt. Unter Windows XP wird die Binärdatei als “C:\Windows\system32\spool\prtprocs\w32x86\localspl.dll” gespeichert und der Code nutzt den “Spooler”-Dienst um zu starten. Unter Windows 7 und höher wird die Binärdatei unter “C:\Windows\system32\lTSMSISrv.dll” abgelegt und ist ihr Start mit dem Aufruf des NT-Services “SessionEnv” (einem RD-Dienst) verbunden.

Die Struktur der DLLs bezeichnet Avast als “recht interessant”. Sie seien im Huckepack-Verfahren in Code anderer Hersteller injiziert und nutzten für ihre bösartigen Funktionen legitime und erwünschte DLLs. Beispielsweise wird der 32-Bit-Code durch VirtCDRDrv32.dll gestartet, das Teil von Corels WinZi-Software ist. Der 64-Bit-Code nutzt mit EFACli64.dll Teile eines Symantec-Produkts. Der weitaus größte Teil des gefährlichen Codes wird in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4] abgelegt. All das zeigt laut Avast die Professionalität der Angreifer.

Verbrauchern empfiehlt Avast weiterhin das Update auf die aktuelle Version 5.35 von CCleaner und den Einsatz eines hochwertigen Antiviren-Tools, die die Restbeständer der Schadsoftware findet und löscht. In Unternehmen hängen die zu ergreifenden Maßnahmen von der jeweiligen IT-Sicherheitsstrategie ab.

 Loading ...