Jika kamu telah mendownload atau memperbarui aplikasi CCleaner di komputer antara 15 Agustus dan 12 September tahun ini dari situs resminya, maka perhatikanlah – komputer kamu telah disusupi oleh malware.
Peneliti keamanan dari Cisco Talos menemukan bahwa server download yang digunakan oleh Avast untuk membiarkan pengguna mendownload aplikasi tersebut dikompromikan oleh beberapa hacker yang tidak dikenal, yang mengganti versi asli perangkat lunak dengan malware dan mendistribusikannya ke jutaan pengguna selama sekitar satu bulan.
Insiden ini merupakan contoh lain dari serangan supply chain. Awal tahun ini, server update dari sebuah perusahaan Ukraina bernama MeDoc juga dikompromikan dengan cara yang sama untuk mendistribusikan ransomware Petya.
Avast dan Piriform telah mengkonfirmasi bahwa versi 32-bit Windows CCleaner v5.33.6162 dan CCleaner Cloud v1.07.3191 terpengaruh oleh malware tersebut.
Terdeteksi pada tanggal 13 September, versi jahat CCleaner berisi muatan malware multi-stage yang mencuri data dari komputer yang terinfeksi dan mengirimkannya ke server command-and-control penyerang.
Selain itu, hacker yang tidak dikenal menandatangani instalasi berbahaya yang dapat dieksekusi (v5.33) dengan menggunakan tanda tangan digital valid yang dikeluarkan ke Piriform oleh Symantec dan menggunakan Algoritma Domain Generation (DGA), sehingga jika server penyerang down, DGA dapat menghasilkan domain baru untuk menerima dan mengirim informasi yang dicuri.
“Semua informasi yang dikumpulkan dienkripsi dan dikodekan oleh base64 dengan alfabet kustom,” kata Paul Yung, V.P. Produk di Piriform. “Informasi yang dikodekan kemudian diserahkan ke alamat IP eksternal 216.126.x.x (alamat ini telah dimuat di payload, dan kami sengaja menyembunyikan dua oktet terakhirnya di sini) melalui permintaan HTTPS POST.”
Malware ini diprogram untuk mengumpulkan sejumlah besar data pengguna, termasuk:
- Nama komputer
- Daftar perangkat lunak yang diinstal, termasuk pembaruan Windows
- Daftar semua proses yang berjalan
- Alamat IP dan MAC
- Informasi tambahan seperti apakah proses berjalan dengan hak istimewa admin dan apakah itu sistem 64-bit.
Cara Menghapus Malware
Menurut peneliti Talos, sekitar 5 juta orang mendownload CCleaner (atau Crap Cleaner) setiap minggunya, yang mengindikasikan bahwa lebih dari 20 juta orang terinfeksi versi berbahaya dari aplikasi tersebut.
“Dampak serangan ini bisa sangat parah mengingat jumlah sistem yang sangat tinggi mungkin terpengaruh. CCleaner mengklaim memiliki lebih dari 2 miliar unduhan di seluruh dunia mulai November 2016 dan dilaporkan menambahkan pengguna baru dengan rate 5 juta seminggu,” kata Talos.
Namun, Piriform memperkirakan bahwa hanya 3 persen penggunanya (kisaran 2,27 juta orang) terkena dampak instalasi berbahaya tersebut.
Pengguna yang terpengaruh sangat disarankan untuk memperbarui perangkat lunak CCleaner ke versi 5.34 atau lebih tinggi, untuk melindungi komputer agar tidak dikompromikan. Versi terbaru tersedia untuk download disini.
