Les chercheurs de Cisco Talos ont décrit ainsi cette attaque: «La version légitimement signée de CCleaner 5.33…also contenait également une charge utile de logiciels malveillants en plusieurs étapes qui s’ajoutait à celle de CCleaner. »La société mère de CCleaner, Piriform (récemment rachetée par la terrible société de logiciels antivirus Avast), a reconnu le problème peu après.
Depuis que CCleaner prétend avoir des millions de téléchargements par semaine, le problème est potentiellement grave.
Que fait le malware?
Les logiciels malveillants ne nuisent pas activement aux systèmes, mais ils chiffrent et collectent des informations susceptibles d’être utilisées ultérieurement pour nuire à votre système. Selon Piriform, elle aurait notamment créé un identifiant unique pour l'ordinateur et collecté:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Vous pouvez lire plus d'informations techniques sur l'attaque sur le blog de Cisco Talos et sur le blog de Piriform.
Étais-je affecté?
Heureusement, il semble que ce malware n'ait affecté qu'un sous-ensemble d'utilisateurs de CCleaner. En particulier, cela a affecté:
- Utilisateurs exécutant la version 32 bits de l'application (et non la version 64 bits)
- Utilisateurs exécutant la version 5.33.6162 de CCleaner ou CCleaner Cloud 1.07.3191, publiée le 15 août 2017
Étant donné que de nombreux utilisateurs utilisent probablement la version 64 bits de l'application et que CCleaner Free ne se met pas à jour automatiquement, il s'agit d'une bonne nouvelle pour beaucoup de gens.
(Mettre à jour: Quelques jours après l'annonce de cette nouvelle, une deuxième charge utile affectant les utilisateurs 64 bits a été découverte, mais il s'agissait d'une attaque ciblée contre des entreprises de haute technologie. Il est donc peu probable que la plupart des utilisateurs à domicile soient affectés.)
Si vous utilisez une version 32 bits de Windows et pensez avoir téléchargé CCleaner au cours de la période concernée, voici comment vérifier votre version. Ouvrez CCleaner et regardez dans le coin supérieur gauche de la fenêtre. Vous devriez voir un numéro de version sous le nom du programme.
HKLMSOFTWAREPiriform
et voir s'il y a une clé étiquetée
Agomo:MUID
. Si cette clé existe, cela signifie que vous aviez le logiciel infecté sur votre système à un moment donné.)
Que devrais-je faire?
Cisco Talos recommande de restaurer votre système dans un état antérieur au 15 août 2017 à partir d'une sauvegarde, le cas échéant. Vous devriez probablement exécuter un antivirus et une analyse de MalwareBytes sur votre système et vos sauvegardes pour vous assurer qu'aucun logiciel malveillant n'est installé.
Vous pouvez également réinstaller complètement Windows, disent-ils. Oui, c’est une option un peu nucléaire, mais c’est le seul moyen de savoir complètement que votre système est propre après un tel événement.