18.09.2017, Update: 21.09.2017 | Bochum, Autor: Tim Berghoff

Warnung: CCleaner 5.33 mit Schadsoftware belastet

Sicherheitsforscher fanden heraus, dass eine Version der bekannten Systemwartungs-Anwendung "CCleaner" mit einer Schadsoftware belastet war. Wir werfen einen kurzen Blick auf den Fall und schauen auf einige ähnliche Beispiele.

Etwa einen Monat lang wurde die bekannte Tuning-Anwendung „CCleaner“ mit einem unerwünschten blinden Passagier ausgeliefert. Forscher von Talos haben herausgefunden, dass über die offiziellen Downloadserver des Herstellers eine mit einer Schadsoftware infizierte Version der Anwendung verteilt wurde. Zwei Fakten machen diesen Zwischenfall besonders brisant: zum einen ist die Anwendung sehr verbreitet. Nach eigenen Angaben ist die Anwendung weltweit mehr als zwei Milliarden mal heruntergeladen worden. Die Zahl der betroffenen Anwender ist also unbestreitbar hoch. Zum anderen ist die infizierte Version von CCleaner mit einem gültigen Zertifikat signiert. Ein solches Zertifikat soll unter anderem sicherstellen, dass eine Anwendung von einem vertrauenswürdigen Hersteller stammt. Jemand, der ein gestohlenes Zertifikat zum Signieren von Malware einsetzt, kann also eine breite Basis erreichen – unsignierte Anwendungen werden von Windows nicht ohne Weiteres ausgeführt.

G DATA – Kunden sind geschützt

Die manipulierte Version 5.33 des CCleaners wurde zwischen dem 15. August und dem 12. September über die offizielle Downloadseite ausgeliefert und wird von allen G DATA-Lösungen erkannt als Win32.Backdoor.Forpivast.A.  

Eine bereinigte Version ist bereits veröffentlicht worden. Anwender, die die Betroffene Version installiert haben, sollten die aktuelle Version 5.34 installieren. In den kostenfreien Versionen des Programms sind die Updates nicht automatisiert. In diesem Fall muss die aktuelle Installationsdatei heruntergeladen und installiert werden.

Kompromittierte Downloads - kein neues Phänomen

Die Tatsache, dass die infizierte Version (5.33) mit diesem gültigen Zertifikat signiert war, kann ein Anzeichen für verschiedene Sicherheitsprobleme sein, von einer Sicherheitslücke im Signierungsprozess des Herstellers bis hin zu einer Kompromittierung der Stelle, die das Zertifikat ausgestellt hat.

Es ist jedoch kein neues Phänomen, Schadsoftware mit gestohlenen Zertifikaten zu signieren oder Malwarebelastete Versionen vertrauenswürdiger Software über offizielle Downloadseiten zu verteilen. In der Vergangenheit ist dies bereits mit einem Torrent-Client für Mac geschehen, sowie mit einer Linux-Distribution. Die Schadsoftware „Petna“ nutzte für die Verbreitung die Update-Infrastruktur einer Finanzsoftware.

Malware-Autoren betreiben also zunehmenden Aufwand, um viele Rechner in möglichst kurzer Zeit zu infizieren. Die „Supply Chain“ ist also ein sehr lohnendes Ziel für Kriminelle, die eine hohe Reichweite für ihre Schadsoftware erzielen wollen. Gelingt es, einen Teil des Warenkreislaufs zu infiltrieren, hat dies direkte Konsequenzen – auch dies ist in der Vergangenheit bereits geschehen.

Update: 21.09.2017 - Spionageverdacht

Die Kompromittierung von CCleaner hat anscheinend tiefgreifendere Konsequenzen. Es gibt laut Talos deutliche Hinweise, nach denen die trojanisierte Version 5.33 von CCleaner in bestimmten Netzwerken weitere Schadsoftware nachlädt. Dies sei nur der Fall, wenn sich ein Rechner im Netzwerk bestimmter Firmen befindet – darunter zahlreiche Technologiekonzerne wie Microsoft, Samsung, Cisco, oder Sony, aber auch Kommunikationsdienstleister wie Vodafone sowie ein Hersteller von Spielautomaten. Damit zeichnet sich ab, dass hinter der manipulierten Version ein von langer Hand geplanter Industriespionage-Coup zu stecken scheint. Ein wahrscheinliches Ziel ist es, Betriebswissen aus diesen Unternehmen abzuzapfen. Dies könnte entweder zum Weiterverkauf angeboten oder im Zuge „aktiver Wirtschaftsförderung“ verwendet werden – oder auch um Schwachstellen in IT-Produkten zu suchen, welche für weitere Angriffe oder eine Kompromittierung von Geräten „ab Werk“ genutzt werden können. Einige Indizien weisen auf eine Gruppierung namens Group 72 hin, die in der Vergangenheit ein ähnliches Beuteschema hatte – allerdings ist dies bisher eine Vermutung, da die Zuordnung eines Angriffs nicht immer ohne Weiteres möglich ist.


Share this article

G DATA | Trust in German Sicherheit