Эксперты компании Avast проанализировали бэкдор, внедренный в утилиту CCleaner в 2017 году, и пришли к выводу, что на третьем этапе атаки злоумышленники планировали установить на зараженные компьютеры зловред ShadowPad.

Компания Avast, которая в июле поглотила Piriform — разработчика CCleaner, — сообщила, что исследует атаку на популярный инструмент очистки ПК с момента ее обнаружения в сентябре 2017 года.

Специалистам не удалось найти следов двоичного файла третьей стадии на зараженных компьютерах, но они смогли предположить, какой она могла бы быть. Об этом они рассказали на конференции Security Analyst Summit, которую на прошлой неделе провела «Лаборатория Касперского».

По данным Avast, вредоносное ПО распространялось на сервере сборок Piriform с марта по 4 июля 2017 года.

Широкая общественность узнала об инциденте в сентябре, когда разработчик антивирусов сообщил, что заражены 32-разрядные версии CCleaner V5.33.6162 и CCleaner Cloud V1.07.3191, установленные на 2,27 млн компьютеров. Вредоносная программа собирала имена машин, списки установленных программ и запущенных процессов. Специалисты компании также заявили, что зловред обладал функцией загрузчика, которая использовалась на 40 ПК жертв.

Сотрудники Avast совместно с Костином Райю из «Лаборатории Касперского» пришли к выводу, что за атакой стояла китайская группировка Axiom, занимающаяся кибершпионажем.

Устраняя угрозу из сети Piriform, компания Avast начала укреплять и проверять компьютеры и инфраструктуру разработчика CCleaner и обнаружила там предварительные версии двоичных файлов первой и второй стадии. Позже на четырех машинах обнаружилось свидетельство установки многоцелевой модульной платформы ShadowPad.

Как предположил Мартин Хрон (Martin Hron), исследователь, занимающийся проблемами безопасности в компании Avast, им удалось найти внутри сети старую версию файла второй стадии, который пытался загрузить ShadowPad. Эту платформу для кибератак преступники развертывают в сетях для получения функций удаленного управления, клавиатурного шпиона и вывода данных.

Хрон отметил, что ShadowPad был установлен на четыре компьютера Piriform 13 апреля 2017 г. Позднее специалисты Avast нашли файлы журналов ShadowPad с зашифрованными записями нажатий клавиш, которые успел сделать клавиатурный шпион.

Исследователи из Avast предположили, что эта версия ShadowPad была создана специально для Piriform. Установка такого инструмента позволяла киберпреступникам дистанционно взять систему под контроль, а также получить все учетные данные и сведения об операциях на зараженном компьютере. Помимо клавиатурного шпиона, злоумышленники загрузили на четыре машины программу для кражи паролей и средства удаленной установки дополнительных модулей и программ.

Впервые о ShadowPad заговорили в августе, когда в ПО для управления серверами NetSarang исследователи из «Лаборатории Касперского» нашли бэкдор. Специалисты отметили, что модульная платформа умеет загружать и выполнять произвольный код, создавать процессы и вести виртуальную файловую систему в реестре, причем на каждом компьютере все эти компоненты шифруются и хранятся индивидуально.

Эксперты Avast пока не могут однозначно сказать, собирались ли злоумышленники внедрять ShadowPad на все 40 компьютеров или нет. Они продолжат исследовать дампы данных с зараженных машин и публиковать результаты их анализа.

Категории: Аналитика, Вредоносные программы, Хакеры