CCleaner โปรแกรม clean data ในเครื่องชื่อดังประกาศว่า Version 5.33 นั้นเป็นเวอร์ชั่นที่ CCleaner ถูกแฮ็คและฝัง malware ไว้ โดยหากใครที่ download ไปในช่วง 15 สิงหาคม ถึง 12 กันยายน นั่นคือ download เวอร์ชั่นที่ถูกฝัง malware ที่ชื่อว่า Floxif malware ไว้ไปนั่นเอง

CISCO Talos ได้ทำการตรวจสอบ CCleaner แล้วพบว่าถูกฝัง Floxif malware ไว้ โดย malware ตัวดังกล่าวจะทำการเก็บข้อมูลของเครื่องเหยื่อแล้วส่งออกไปให้ทาง C&C Server โดยข้อมูลดังกล่าวมีทั้ง ชื่อเครื่อง, list software, list running process, MAC Address และ unique ID ของแต่ละเครื่อง นอกจากนั้น malware ตัวนี้ยังมีความสามารถในการ download และ run binary อื่นๆได้อีกด้วย ยังไม่พบหลักฐานว่า Floxif นั้นจะมีการทำงานใน stage ที่ 2 หลังจากเครื่องติดไปแล้วแต่อย่างใด

Security Researcher ของทาง Talos นั้นพบว่า malware จะทำงานใน 32bit system และจะปิดตัวทันทีเมื่อพบว่า user ไม่ใช่ administrator account

Talos พบความผิดปกติของ CCleaner app เมื่ออาทิตย์ที่ผ่านมาขณะที่กำลังทดสอบเครื่องมือตรวจจับการ exploit ของ Talos อยู่

Security Researcher พบว่า version Cleaner 5.33 มีการเรียกไปยัง domain ที่ผิดปกติ ตอนแรกนึกว่าเกิดจากที่ download CCleaner ที่เป็น fake application มา แต่พอตรวจสอบก็พบว่าเป็น CCleaner ตัวจริงจาก official website เพราะมีการ sign certificate จากผู้ผลิตอย่างชัดเจน

บริษัทกล่าวว่า CCleaner ที่ถูกแก้ไขคือ 5.33.6162 และ CCleaner Cloud version 1.07.3191.

ในวันที่ 13 กันยายน ทาง Piriform ได้ทำการปล่อย CCleaner 5.34 และ CCleaner Cloud version 1.07.3191 ที่ได้เอา malicious code ออกไปแล้ว

Floxif Trojan นั้นใช้ domain name ที่ถูก random มากมายในแต่ละเดือน เพื่อที่จะใช้สำหรับการติดต่อไปยัง C&C Server มี Server จำนวนหลายร้อยที่มีการพยายาม resolve DNS domain name ของ Site ดังกล่าว

หลังจากที่ Cisco ได้แจ้งไปยัง Avast ก็ได้เข้าไปจัดการเปลี่ยน C&C Server เหล่านั้นให้กลายเป็น offline แต่ก็ยังมีผู้ติด malware ทำการ request ไปยัง DNS ด้วย backup domain อย่างต่อเนื่อง

ทาง Talos ได้ทำการสรุปกระบวนการทำงานของ malware ตามด้านล่างนี้ครับ

Source:: BleepingComputer