Примерно с 15 августа и вплоть до 12 сентября 2017 года вместе с CCleaner распространялся малварь Floxif. Это касается версий CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191 в 32-разрядных системах Windows. Взлом был обнаружен специалистами Cisco Talos. Рекомендую срочно обновиться на актуальную версию.
Специалисты Cisco Talos рассказали, что, изучая официальную версию CCleaner 5.33, они заметили, что приложение связывается с подозрительным доменом. Как оказалось, ответственен за это был вирус Floxif, работающий на 32-битных системах из-под учетной записи администратора. Малварь собирал все данные с зараженной машине (информацию о системе, запущенных процессах, MAC-адресах сетевых устройств и ID комплектующих) и передает их на удаленный сервер злоумышленников. При этом Floxif может скачивать и запускать дополнительные бинарные файлы. Эксперты Cisco Talos полагают, что злоумышленники каким-то образом скомпрометировали цепочку поставок Avast и использовали цифровой сертификат, чтобы подписать вредоносную версию CCleaner 5.33, подменив ею легитимный вариант. Исследователи не исключают, что в данном случае преступникам помогал кто-то изнутри компании. Представители Avast сообщили, что зараженные Floxif версии CCleaner успели распространиться на 2,27 млн компьютеров (это около 3% пользователей утилиты).
13 сентября 2017 года были выпущены версии CCleaner 5.34 и CCleaner Cloud 1.07.3214, которые не содержат вредоносного кода. Срочно обновляйтесь.
Провериться на заражение достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.
