Größerer Angriff

CCleaner-Malware war gezielte Attacke

Der jüngst entdeckte Malware-Angriff über ein signiertes Update für CCleaner war ein gezielter Angriff. Dabei sollten Nutzer in Unternehmen ausspioniert werden, wie CCleaner-Eigentümer Avast durch Untersuchungen herausgefunden hat.
Von Stefan Kirchner

CCleaner Harmlos ist der Malware-Angriff per CCleaner-Update doch nicht gewesen
Screenshot: Piriform, Montage/Grafik: teltarif.de Erst diese Woche sorgte die Meldung für Aufsehen, dass das beliebte System-Tool zum Löschen temporärer Dateien als auch Browser-Cookies CCleaner Opfer einer Malware-Attacke wurde. Dabei hatte sich die Malware selbst im digital signierten Update versteckt und fast 2,3 Millionen Rechner infiziert.

So ganz harmlos ist der Malware-Angriff aber doch nicht gewesen, wie Avast als Eigentümer des Entwickler­studios Piriform nun eingestehen musste. Nach einer größeren Analyse der Malware und der dahinter stehenden Command-and-Control-Server, kurz C&C-Server, habe man herausgefunden, dass nicht Privat­anwender das Ziel waren, sondern Nutzer in Unternehmen.

Bei dem zwei­stufigen Angriff lud ein Downloader selbstständig weiteren Programm­code aus dem Netz, welcher zum Aus­spionieren von Firmen­netzen diente. Laut Avast sei das bei mehreren Hundert Nutzern der Fall gewesen. Die betroffenen Unternehmen wollte Avast nicht öffentlich bekanntgeben, hat sie jedoch bereits über den Angriff informiert. Lediglich das die Unternehmen in Deutschland, Großbritannien, Japan, den USA und Taiwan ansässig sind, gab Avast preis.

Raffinierter Angriff mit viel Fachwissen

CCleaner Harmlos ist der Malware-Angriff per CCleaner-Update doch nicht gewesen
Screenshot: Piriform, Montage/Grafik: teltarif.de Bei einer näheren Untersuchung der eigentlichen Malware kam heraus, dass zwei verschiedene Angriffs­wege verwendet wurden. So gab es für ältere Systeme bis Windows XP eine eigene Methode, die sich von der Methode für Windows 7 und neuer signifikant unterscheidet. Selbst für 32- und 64-Bit-Systeme wurden verschiedene Dateien verwendet, über welche Huckepack die Malware eingeschleust wurde. Laut den Anti-Malware-Entwicklern von Avast sei das Wissen der Angreifer sehr hoch, um solch gezielte Methoden so gut zu verstecken. Dies zeigt sich beispielsweise auch darin begründet, dass die Angreifer mit einer kleinen Anweisung den C&C-Server zur Steuerung der Malware beliebig ändern können.

Derzeit arbeitet Avast mit den Straf­verfolgungs­behörden zusammen, um die Hinter­männer des Angriffs ausfindig zu machen und ihrer Verantwortung zu stellen. Derweil wird damit geworben, dass das jüngste Update für CCleaner auf Version 5.35 wieder frei von Malware sei und das für die verseuchte Version genutzte Zertifikat für ungültig deklariert wurde. Fast schon ironisch wirkt da der Hinweis, dass man ein "qualitativ hochwertiges Anti-Malware-Programm wie Avast AntiVirus" verwenden sollte.

Lesen Sie in einem weiteren Artikel, wie Sie Ihren Rechner wieder schneller machen können.

Mehr zum Thema Schadsoftware