Malware in CCleaner - Ziel waren große Firmen wie Microsoft und Google

Das beliebte Tool CCleaner wurde gehackt und zur Auslieferung von Malware genutzt. Angriffsziel waren vor allem große Technik-Unternehmen.

von Georg Wieselsberger, Stefan Köhler,
22.09.2017 11:36 Uhr

Der CCleaner wurde rund einen Monat mit Schadsoftware verteilt.Der CCleaner wurde rund einen Monat mit Schadsoftware verteilt.

CCleaner ist ein beliebtes Optimierungsprogramm für Windows und hilft beim Aufräumen des PCs - auch wenn dessen Effektivität und Nutzen eher zweifelhaft ist. Microsoft warnte sogar vor sogenannten Registry-Cleanern und auch vor CCleaner, da dessen unbedarfte Nutzung im Gegensatz zu Windows-Bordmitteln wie cleanmrg.exe Probleme verursachen kann.

Vor einigen Tagen wurde entdeckt, dass die CCleaner-Software gehackt und ein im August veröffentlichtes Update dazu benutzt wurde, Schadsoftware an über 2,2 Millionen Nutzer auszuliefern. Inzwischen ist diese Zahl aber auf rund 700.000 tatsächlich infizierter PCs gesunken. Erst die Versionen ab Version 5.34 und Version 1.07.3214 sind wieder sicher.

Schadsoftware erschien zunächst fast harmlos

Am 12. September hatte Avast den Schadcode entdeckt, einen Patch entwickelt und die US-Behörden informiert. Um die Untersuchung nicht zu gefährden, wurde der Server des Angreifers erst am 15. September abgeschaltet und erst danach eine Pressemitteilung veröffentlicht. Der Code konnte den Computer-Namen, IP-Adresse, installierte und aktive Software, sowie die Liste der Netzwerkanschlüsse auslesen und an einen in den USA stehenden Server verschicken. Sensiblere Informationen wie Passwörter und ähnliches waren wohl nicht Ziel des Angriffs.

Bei bestimmten Zielen wurde weiterer Code nachgeladen

Inzwischen hat die Untersuchung ergeben, dass das Ziel des Angriffs vor allem ausgewählte Technik-Unternehmen in Japan, Taiwan, den USA, Großbritannien und Deutschland waren. In manchen Fällen hat sie Schadsoftware auf Rechnern dieser Unternehmen dann tatsächlich weiteren Code nachgeladen. Insgesamt waren laut Avast mindestens Hunderte Rechner von dieser zweiten Stufe des Angriffs betroffen.

Avast wollte die betroffenen Unternehmen im aktuellen Blogpost nicht nennen, doch laut Wired haben die Angreifer Rechner in 18 Unternehmen gesucht, darunter Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, Linksys, D-Link und Cisco. Die zusätzlich installierte Schadsoftware diente laut Cisco vermutlich dem Zweck der Industriespionage. Die Untersuchungen sind aber noch nicht abgeschlossen.


Kommentare(22)

Nur angemeldete Benutzer können kommentieren und bewerten.