จากการที่เซิร์ฟเวอร์ CCleaner ถูกแฮ็กระบบ และแฮ็กเกอร์แอบฝังมัลแวร์ไปกับ CCleaner ที่เปิดให้ดาวน์โหลดจากหน้าเว็บ และนำไปใช้เป็นฐานสำหรับแพร่กระจายมัลแวร์ Floxif มานานเป็นแรมเดือนแล้ว ซึ่งมีผู้ได้รับผลกระทบไปกว่า 2.27 ล้านคน ตอนนี้เริ่มมีรายละเอียดของมัลแวร์ตัวนี้ออกมาแล้วว่ามันเป็นมัลแวร์ที่ร้ายกาจพอสมควร เพราะมันถูกออกแบบมาเพื่อตั้งใจโจมตีคอมพิวเตอร์ภายในบริษัทใหญ่ๆ โดยเฉพาะ
จากข้อมูลพบว่าทราฟฟิกผิดปกติจากระบบตรวจสอบ exploit detection ตัวใหม่ พอสอบสวนแล้วพบว่ามาจาก CCleaner v5.33 ซึ่งมีต้นทางมาจากเซิร์ฟเวอร์ของ CCleaner โดยตรง และตัวไฟล์ถูก sign ด้วยใบรับรองดิจิทัลอย่างถูกต้องด้วย นั่นแปลว่า CCleaner ถูกเจาะตั้งแต่ก่อนกระบวนการ sign ด้วยซ้ำ
นอกจากตัวมัลแวร์แล้ว ยังพบว่ามีระบุ DomainList ที่แฮ็กเกอร์พยายามโจมตีด้วย ซึ่งในจำนวนนี้ก็มีโดเมนของบริษัทดังๆ อย่าง Singtel, HTC, Samsung, Sony, VMware, Intel, Microsoft, O2, Vodafone, Epson, MSI, DLink, Gmail รวมถึง Cisco ด้วย แสดงให้เห็นว่าแฮ็กเกอร์มีความตั้งใจปล่อยมัลแวร์ตัวนี้ เพื่อไปดึงข้อมูลสำคัญจากเครื่องคอมพิวเตอร์ในเครือข่ายของบริษัทเหล่านี้โดยเฉพาะ
โดยโปรแกรมเวอร์ชันที่ได้รับผลกระทบคือ CCleaner v5.33.6162 และ CCleaner Cloud v1.07.3191 เวอร์ชัน 32 บิทบนวินโดวส์ ที่เปิดให้ดาวน์โหลดระหว่างวันที่ 15 สิงหาคม ถึงวันที่ 12 กันยายน
ปัจจุบันซอฟท์แวร์เวอร์ชั่นที่เป็นปัญหาได้ถูกถอดออกไปเรียบร้อยแล้ว พร้อมแก้ปัญหาที่ตัวเซิร์ฟเวอร์เพื่อให้ผู้ใช้ได้มั่นใจ ส่วนใครที่โหลดเวอร์ชั่นที่เป็นปัญหาไปแล้วให้รีบถอนการติดตั้ง จากนั้นให้โหลดเป็นเวอร์ชั่นใหม่ล่าสุดแทน ส่วนใครที่ใช้ CCleaner Cloud version 1.07.3191 จะได้รับการอัพเดทอัตโนมัติ
Credit : talos
Facebook Comments