Se descubre la segunda carga útil de CCleaner Malware

Un nuevo informe de Talos Group de Cisco sugiere que el truco CCleaner era más sofisticado de lo que se pensaba inicialmente. Los investigadores encontraron evidencia de una segunda carga útil durante su análisis del malware que apuntaba a grupos muy específicos basados ​​en dominios.

El 18 de septiembre de 2017 Piriform informó que la infraestructura de la empresa distribuyó una versión maliciosa del software de limpieza de archivos CCleaner durante aproximadamente un mes.



La infraestructura de la empresa se vio comprometida y los usuarios que descargaron la versión 5.33 de CCleaner del sitio web o usaron actualizaciones automáticas para instalarlo, obtuvieron la versión infectada en su sistema.

Hablamos sobre métodos para identificar si una versión infectada está instalada en el sistema. Probablemente el mejor indicador, además de verificar la versión de CCleaner, es verificar la existencia de claves de Registro en HKLM SOFTWARE Piriform Agomo.

ccleaner 2nd payload

Piriform se apresuró a afirmar que los usuarios podrían resolver el problema actualizando a la nueva versión libre de malware de CCleaner.



Un nuevo informe sugiere que esto puede no ser suficiente.

Talos Group encontró evidencia de que el ataque fue más sofisticado, ya que apuntó a una lista específica de dominios con una segunda carga útil.

  • singtel.corp.root
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • Linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Los investigadores sugieren que el atacante buscaba propiedad intelectual según la lista de dominios que pertenecen a empresas tecnológicas de alto perfil.

Curiosamente, la matriz especificada contiene el dominio de Cisco (cisco.com) junto con otras empresas de tecnología de alto perfil. Esto sugeriría un actor muy centrado en la propiedad intelectual valiosa.

Talos Group sugirió restaurar el sistema informático mediante una copia de seguridad que se creó antes de la infección. La nueva evidencia refuerza esto, y los investigadores sugieren firmemente que puede no ser suficiente simplemente actualizar CCleaner para deshacerse del malware.

Estos hallazgos también respaldan y refuerzan nuestra recomendación anterior de que aquellos afectados por este ataque a la cadena de suministro no deben simplemente eliminar la versión afectada de CCleaner o actualizar a la última versión, sino que deben restaurar desde las copias de seguridad o los sistemas de recuperación de imágenes para asegurarse de que eliminan por completo no solo el versión con puerta trasera de CCleaner, pero también cualquier otro malware que pueda residir en el sistema.

El instalador de la etapa 2 es GeeSetup_x86.dll. Comprueba la versión del sistema operativo y coloca una versión de 32 o 64 bits del troyano en el sistema basándose en la comprobación.

El troyano de 32 bits es TSMSISrv.dll, el troyano de 64 bits es EFACli64.dll.

Identificación de cargas útiles de la etapa 2

La siguiente información ayuda a identificar si se ha plantado una carga útil de etapa 2 en el sistema.

Claves de registro:

  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
  • HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

Archivos:

  • GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
  • DLL en el Registro: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Carga útil de la etapa 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83