CCleaner-Malware war gezielte Attacke
Harmlos ist der Malware-Angriff per CCleaner-Update doch nicht gewesen
Screenshot: Piriform, Montage/Grafik: teltarif.de
Erst diese Woche sorgte die Meldung für Aufsehen, dass das beliebte System-Tool zum Löschen temporärer Dateien als auch Browser-Cookies CCleaner Opfer einer Malware-Attacke wurde. Dabei hatte sich die Malware selbst im digital signierten Update versteckt und fast 2,3 Millionen Rechner infiziert.
So ganz harmlos ist der Malware-Angriff aber doch nicht gewesen, wie Avast als Eigentümer des Entwicklerstudios Piriform nun eingestehen musste. Nach einer größeren Analyse der Malware und der dahinter stehenden Command-and-Control-Server, kurz C&C-Server, habe man herausgefunden, dass nicht Privatanwender das Ziel waren, sondern Nutzer in Unternehmen.
Bei dem zweistufigen Angriff lud ein Downloader selbstständig weiteren Programmcode aus dem Netz, welcher zum Ausspionieren von Firmennetzen diente. Laut Avast sei das bei mehreren Hundert Nutzern der Fall gewesen. Die betroffenen Unternehmen wollte Avast nicht öffentlich bekanntgeben, hat sie jedoch bereits über den Angriff informiert. Lediglich das die Unternehmen in Deutschland, Großbritannien, Japan, den USA und Taiwan ansässig sind, gab Avast preis.
Raffinierter Angriff mit viel Fachwissen
Harmlos ist der Malware-Angriff per CCleaner-Update doch nicht gewesen
Screenshot: Piriform, Montage/Grafik: teltarif.de
Bei einer näheren Untersuchung der eigentlichen Malware kam heraus, dass zwei verschiedene Angriffswege verwendet wurden. So gab es für ältere Systeme bis Windows XP eine eigene Methode, die sich von der Methode für Windows 7 und neuer signifikant unterscheidet. Selbst für 32- und 64-Bit-Systeme wurden verschiedene Dateien verwendet, über welche Huckepack die Malware eingeschleust wurde. Laut den Anti-Malware-Entwicklern von Avast sei das Wissen der Angreifer sehr hoch, um solch gezielte Methoden so gut zu verstecken. Dies zeigt sich beispielsweise auch darin begründet, dass die Angreifer mit einer kleinen Anweisung den C&C-Server zur Steuerung der Malware beliebig ändern können.
Derzeit arbeitet Avast mit den Strafverfolgungsbehörden zusammen, um die Hintermänner des Angriffs ausfindig zu machen und ihrer Verantwortung zu stellen. Derweil wird damit geworben, dass das jüngste Update für CCleaner auf Version 5.35 wieder frei von Malware sei und das für die verseuchte Version genutzte Zertifikat für ungültig deklariert wurde. Fast schon ironisch wirkt da der Hinweis, dass man ein "qualitativ hochwertiges Anti-Malware-Programm wie Avast AntiVirus" verwenden sollte.
Lesen Sie in einem weiteren Artikel, wie Sie Ihren Rechner wieder schneller machen können.