Si les premiers éléments d’enquête autour de l’infection de CCleaner laissaient apparaître un danger limité, d’autres dessinent désormais les contours d’une attaque complexe. Le malware, quel qu’il soit, dispose en fait de plusieurs charges virales dont les chercheurs ont encore du mal à percer les défenses.
On apprenait plus tôt dans la semaine que l’outil CCleaner avait distribué pendant un mois un malware dans sa version 5.33 32 bits (ainsi que CCleaner Cloud 1.07.3191). Piriform, éditeur du logiciel et appartenant à Avast, avait présenté ses excuses et avait fourni quelques détails, confirmant surtout la découverte faite par le groupe de sécurité Talos de Cisco. Il indiquait ainsi que ses serveurs avaient été attaqués et qu’une version modifiée de son outil s’était retrouvée en téléchargement.
Nom de l’ordinateur, liste des logiciels installés, mises à jour installées par Windows, processus en cours d’exécution, adresses IP et Mac, architecture et autres informations techniques étaient récupérées par le malware puis envoyées à un serveur de contrôle, mis hors service entre temps. Le caractère des données rendait la fuite peu dangereuse car aucune information personnelle n’était transmise. Ce qui ne signifiait pas pour autant qu’elles étaient inutiles.
Un malware à étapes multiples
La menace est en fait « multistage », c’est-à-dire à étapes multiples. Dans un nouveau rapport publié mercredi soir, Cisco revient avec la suite de ses recherches. Sur un échantillon de 700 000 machines infectés, 20 avaient déclenché la deuxième étape de l’infection, téléchargeant une charge virale supplémentaire à la mission inconnue, présente sous la forme de deux DLL.
Point important, ces ordinateurs appartiennent tous à une liste de grandes entreprises. Cisco ne dit pas lesquelles ont été touchées, mais le malware semble se concentrer sur une liste restreinte de structures telles qu’Intel, Samsung, HTC, VMware, Microsoft, Sony ou encore MSI et Akamai. Hier soir, de nouvelles explications d'Avast/Piriform ont abondé en ce sens, en allant plus loin : puisque le malware est resté disponible pendant un mois, les machines doublement infectées doivent se compter par centaines au moins.
En liant ces informations aux premières, les chercheurs estiment maintenant que ces données techniques servaient probablement à repérer les machines les plus à même d’accueillir le malware. Son véritable objectif est encore inconnu, mais le vol d’informations sensibles est très certainement de la partie. Le code est en grande majorité masqué. De nombreuses techniques anti-débogage et anti-émulation ont également été placées pour ralentir l’analyse et cacher ce qui se trame réellement dans les entrailles du malware.
Selon Cisco, le code contient en tout cas une troisième étape de type « fileless », donc sans fichier enregistré sur le disque. La charge opère exclusivement en mémoire vive et ne doit donc pas laisser de trace. Et si les informations sur la deuxième étape sont peu nombreuses, celles de la troisième sont inexistantes. Les chercheurs tentent actuellement une rétroingénierie pour avoir le fin mot de l’histoire.
Les conseils ont changé
Actuellement, certains signes pointent vers la Chine. Cisco confirme ici une piste explorée par Kaspersky : des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor déjà utilisée par un groupe nommé, selon les cas, APT 17 ou Group 72. Pour l’instant, les indices ne vont pas plus loin, mais l’enquête continue.
Shared code between the #CCleaner Cbkrdr loader and an #Aurora/#APT17 Missl backdoor. Found only in a few Axiom-related samples. pic.twitter.com/3rQdmtaPQD
— Costin Raiu (@craiu) 19 septembre 2017
Par contre, les conseils sur la manière de se débarrasser du malware ont évolué. Chez Cisco, on n’hésite ainsi plus à recommander un formatage de l’ordinateur si un CCleaner 32 bits a été installé. La version 5.34 de l’outil était vierge de tout problème, et la récente mouture 5.35 se débarrasse du faux certificat (pourtant authentique) utilisé dans la mouture infectée, mais pour les chercheurs du groupe Talos, ce n’est pas suffisant.
Le risque est tout simplement jugé trop grand. L’un des chercheurs, Craig Williams, indique ainsi que la deuxième étape étant encore mal connue, la charge virale qui en découle réalise sans doute des opérations inconnues. Elle déploie de nombreuses techniques pour rester cachée, et on ne peut pas encore dire avec certitude qu’une machine est « guérie » après une simple mise à jour de CCleaner. Curieusement, Piriform/Avast n’évoque pas cette solution drastique.
Une sécurité des serveurs à réviser
L’attaque contre CCleaner montre quoi qu’il en soit une tendance à la hausse pour la pêche aux serveurs de téléchargement. Les pirates, en s’infiltrant dans ces machines, peuvent remplacer directement une version saine par une autre, vérolée. Le serveur devient alors un réservoir d’exécutables contaminés. Le cas a par exemple été déjà rencontré avec Transmission et Handbrake. Même l’arrivée de NotPetya s’est faite de cette manière en juin dernier.
La pression augmente donc sur les éditeurs. Outre la protection des utilisateurs, les entreprises ont tout intérêt à renforcer leurs défenses, car ce type de mésaventure affecte durablement leur image.
Commentaires (57)
ça ferait un super scénario pour Plague Inc
" />
Ça touche les version portable aussi ?
C’est quand même fort qu’une entreprise spécialisé dans les anti-virus se fassent infecter de cette manière.
" />
A moins que la demoiselle d’Avast n’ait pas mis à jour sa base antivirale
Avast, c’est bien le virus ultra répandu ?
" />
Et l’apocalypse surviendra quand l’ami Piriform nous dira que la mouture 64 pines est elle-aussi infectée :)
Tu sais que j’ai eu un frisson dans le dos en lisant ton commentaire ?
La sécurité informatique actuelle en prend un gros coup depuis le début de l’année. Je commence sérieusement à flipper.
“Il voulait supprimer des fichiers temporaires, ça tourne mal, il doit formater son PC !!”
" />
J’ai quand même un vague doute à ce sujet. Au boulot, j’ai la version 64 bit et le malware a quand même été détecté.
Ca partait bien mais où est le suspense quand on a autant d’info dans le titre ?
“La suppression de fichiers temporaires tourne à la catastrophe”
“Il voulait supprimer des fichiers temporaires, vous ne devinerez jamais la suite”
Et au final, si on a installé la version 5.33, on fait quoi ?
D’aprés certains sites, si l’on est infecté les clés suivantes sont ajoutées :
Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.
Pour ma part, j’ai bien eu le HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf mais pas les sous-clés. Ni aucune trace des fichiers indiqués.
Je dois m’inquiéter ?
Sur ce coup, j’ai eu de la chance !
" />. Et la nouvelle version proposée été la 5.35. 
" />
" />
Après la new, j’ai vérifié ma version et je m’étais arrêté à la 5.32 ^^ !
Passais entre les gouttes, pile-poil
des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor…
OH MY GOD !!! J’ai exactement le même code dans mon application !!!!! J’ai été virussé !!!!
Ah… on me chuchote qu’il s’agit seulement d’une implémentation standard de la fonction “base64”.
Pareil pour moi. Version 5.33 64 bits a mis en alerte mon Eset Nod 32.
“8 astuces pour nettoyer son ordinateur, la dernière va vous étonner”!
Pour moi idem. Ça m’étonnerait pas que la version 64 bit y ait eu droit…
j’ai vue mieux hier :
“tel joueur de foot à été frappé par un tel lors de l’entrainement”
en faite le mec était frapper par les capacité et les facilité de l’autre joueur….
Pareil, punaise j’ai eu tellement peur !
Cool, j’ai pas mis à jour après la v5.32.6129
" />
J’espère ne pas avoir à réinstaller mes 4 machines sur lesquelles CCleaner est installé…
La même pour moi. Mais je suis en train de switch sur BleachBit, histoire d’avoir un deuxième cleaner au cas où.
J’avoue ^^ Tes propositions donnent envie d’en savoir plus :p
Bien trouvé !
Aussi détecté par SEP sur certains postes au boulot (normalement CCleaner n’est pas installé par défaut sur nos postes mais certains se font plaisir dès que tu leurs donnes des droits d’administrateur local qui sont “essentiels” dans leur travail). 
" />
Et c’était du 64 bits.
Non seulement ce genre de logiciels est inutile mais en plus ça embarque des malwares maintenant
" />
Et m..de, je viens de faire une màj alors que je n’avais pas pris en compte les màjs jusque là…
" />
" />
Va falloir que je cherche un autre cleaner, parce que depuis que CC est passé sous pavillon Avast c’est la cata.
Pour le moment il est bien indiqué que seule la version 32bits était contaminée: http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v…
En tout cas, l’explication donnée est intéressante et inquiétante à la fois car la modification du binaire s’est faite avec une “facilité” déconcertante compte tenu du fait que la sécurité est le cœur de métier d’Avast.
“faut toujours faire les mise à jour pour être sûr d’être bien protégé”
" />
Je run toujours la version 5.12
Je l’ai utilisé pendant un moment ainsi que d’autres logiciels comme TuneUp. Mais je me suis rendu compte que ça n’éliminait pas grand chose (deux lancement successifs m’affichaient toujours des “problèmes” à corriger après exécution de la dite correction).
Donc j’ai décidé de m’en passer et mon PC fonctionne très bien :)
Ils vont peut-être arrêter d’héberger leurs softs sur «filehippo.com»………
Un formatage c’est un bon nettoyage non?
" />
Je suis effaré de voir tous els commentaires qui disent qu’ils utilisent ccleaner. Si c’est pour nettoyer plus facilement des fichiers temporaires, ou des caches de navigateur, pourquoi pas, mais il y a d’autres moyens déjà inclus dans windows pour le faire, et par exemple les navigateurs proposent d’effacer le cache.
Quand au nettoyage de la base de registre, non seulement cela n’apporte pas de gain de performance, mais en plus c’est dangereux. Effacer la mauvaise clé de registre peut rendre votre système inopérable. Je ne comprend que l’on puisse laisser faire cela à l’aveugle.
Voici aussi l’avis de Microsoft :
“Microsoft does not support the use of registry cleaners. Some programs available for free on the internet might contain spyware, adware, or viruses. If you decide to install a registry cleaning utility, be sure to research the product and only download and install programs from publishers that you trust. For more information, see when to trust a software publisher.” https://support.microsoft.com/en-us/help/2563254/microsoft-support-policy-for-th…
Je n’ai jamais utilisé de tels outils aussi bien chez moi qu’au boulot et mes PCs se portent très bien. Utiliser ce genre d’outil signifie souvent que l’on a installé n’importe quoi, et que l’on tente ensuite de réparer les dégâts.
Qu’il puisse y avoir besoin de nettoyer des fichiers temporaires est un problème en soi.
Sauf erreur de ma part, si un fichier est temporaire, il ne devrait pas être permanent.
Si il y a des applications tierces pour faire un travail, c’est sans doute parce que Microsoft n’en fournit pas pour le faire.
Se limiter à dire que ce travail est inutile est une excuse un peu légère (pour ne pas dire que c’est un magnifique foutage de gueule).
Comment tu crois que je gagne ma vie ?
" />
" /> )
(pour info, j’suis chercheur …
doublon (comment effacer un commentaire ??)
microsoft en fourni un, cleanmgr.exe
on peut même le scripter et faire un template de sélections, que l’on lance régulièrement depuis les taches palnifiées
Je connais pas mal de logiciels payants qui ne font que rajouter une surcouche au-dessus d’utilitaires fournis gratuitement pas Microsoft.
De toute façon il est clair que ça ne sert vraiment à rien comme produit.
Et puis au delà de ça, tant que les équipes n’ont pas déterminés comment les binaires ont pu être compromis il faut se dire que ça peut arrivé à nouveau à tout moment dans une future version. A desinstaller donc disons définitivement :)
Il n’y a pas de distinction entre un fichier temporaire et un fichier classique, s’est au programme de supprimer ses fichiers. L’os ne peut pas savoir si tel ou tel fichier est temporaire.
Il a toujours existé des outils très complet dans windows pour accomplir cette tache. Mais un programme peut très bien rester ouvert pendant 10 jours créer 5 fichiers temporaire et n’accéder à un de ces fichiers qu’une fois au début et à la fin de l’exécution de la tache qu’il exécute, à ce moment là si entre temps tu as viré le fichier tu fais quoi ? Si le soft est codé n’importe comment il va planter.
Sans compter les softs qui vont temporairement écrire un fichier , rebooter la machine pour ensuite relire le fichier pour finir ce qu’ils ont à faire.
Il en va de même pour les clefs registre au développeur de prévoir un script de désinstallation correct.
Le problème est tout simplement les softs mal codés.
Je t”avais filtré. Mais je supprime le filtre. Ça fait plaisir de voir un message constructif.
" />
Donc la principale cause de ces problèmes est les logiciels mal codés.
On nous explique souvent ici que pour réparer les problèmes il vaut toujours mieux utiliser les outils fournis par l’éditeur de l’OS.
Je trouve simplement dommage que Microsoft ne propose rien pour nettoyer la base de registres (même si c’est censé être inutile).
Avast a été pris en flagrant délit de minimisation en situation de crise. A court terme au moins, ils ont perdu toute crédibilité à mes yeux.
Au moins dans les quelques mois à venir, en attendant que tout le monde ait fini sa reverse-ingénieurie j’applique le principe de précaution, et je considère que toutes les variantes de la 5.34 sont vérolées, et que les autres versions sont suspectes (ce qui est la recommandation de l’ANSSI, certes ceinture et bretelles comme à leur habitude).
En plus honnêtement, c’est pas du tout contraignant de se passer d’un logiciel comme CCleaner quelques temps (c’est pas comme s’il fallait par exemple se priver de client mail).
Il est vrai que CCleaner n’est pas forcément plus vérolé que d’autres trucs que j’ai sur mon PC, mais pour les autres je n’ai pas (encore?) de raison de les suspecter!