Injecter un malware dans une mise à jour officielle d’un logiciel. La méthode avait déjà été employée par le ver NotPetya l’été dernier, et selon des chercheurs de Cisco, Ccleaner, un logiciel de nettoyage très populaire sur PC, en a été victime le mois dernier. Environ 2 millions de personnes auraient automatiquement téléchargé la version infectée par un malware. Cisco a prévenu Avast – qui développe Ccleaner (« crap cleaner ») – et la version corrompue a été retirée des serveurs. Si vous avez installé le logiciel, ouvrez-le et vérifiez en haut à gauche que vous n’avez pas la version 5.33.
Le but exact et l’ampleur de l’attaque menée via le logiciel de nettoyage CCleaner commencent à se révéler. Suite à la découverte d’un malware injecté dans deux versions légitimes de l’utilitaire à succès édité par Piriform, les chercheurs en sécurité de Cisco Talos ont procédé à une analyse en détail du serveur de commande et de contrôle auquel le logiciel malveillant se connectait.
Ils ont alors découvert que les pirates ont visiblement mené une opération d’espionnage industriel. Celle-ci ciblait de grandes entreprises du secteur high-tech. En effet, les chercheurs ont dénombré au moins 18 sociétés visées, parmi lesquelles Intel, Google, Microsoft, Akamai, HTC, Epson, Samsung, Sony, VMware, Linksys, D-Link et Cisco.
Le serveur pirate contenait une base de données de tous les ordinateurs infectés qui l’avaient contacté entre le 12 et le 16 septembre. Il y avait au total 700.000 PC. Parmi eux, figuraient des machines sur lesquelles un second malware avait été injecté ; 8 des 18 entreprises ciblées ont été touchées par cette attaque à double détente. Mais, vu que les données analysées ne couvraient qu’une période de quatre jours, Avast (propriétaire de Piriform) estime que ce sont plusieurs centaines d’ordinateurs qui ont vraisemblablement été infectés par un second malware.