Plus tôt cette semaine, lorsque le piratage de CCleaner a été divulgué, les chercheurs ont assuré les utilisateurs qu'il n'y avait pas de malware de deuxième étape utilisée dans l'attaque massive et les utilisateurs affectés pouvaient simplement mettre à jour leur version actuelle afin de se débarrasser des logiciels malveillants.
Cependant, d’après TheHackerNews, lors de l'analyse du serveur de commande et de contrôle (C2) des pirates, auxquelles les versions malveillantes de CCleaner se sont connectées, les chercheurs de la sécurité du groupe Talos de Cisco ont trouvé des preuves d'une seconde charge utile (GeeSetup_x86, un module de Backdoor léger ) qui a été livrée à une liste spécifique d'ordinateurs basés sur des noms de domaine locaux.
Des entreprises technologiques touchées
Selon une liste prédéfinie mentionnée dans la configuration du serveur C2, l'attaque a été conçue pour trouver des ordinateurs à l'intérieur des réseaux des grandes entreprises technologiques et livrer la charge utile secondaire.
Les entreprises visées comprenaient :
- Microsoft
- Cisco
- Intel
- Samsung
- Sony
- HTC
- Linksys
- D-Link
- Akamai
- VMware
Dans la base de données, les chercheurs ont trouvé une liste de près de 700.000 machines infectées via un Backdoor par la version malveillante de CCleaner.
C'est à dire la charge utile de premier étage, et une liste d'au moins 20 machines qui ont été infectées par la charge utile secondaire pour obtenir un ancrage plus profond sur ces systèmes.
Les hackers de CCleaner ont spécifiquement choisi ces 20 machines en fonction de leur nom de domaine, adresse IP, et hostname (nom d’hôte). Les chercheurs estiment que les logiciels malveillants secondaires étaient vraisemblablement destinés à l'espionnage industriel.
Et, selon les chercheurs de Kaspersky, le malware de CCleaner partage un code avec les outils de piratage utilisés par un groupe sophistiqué de Hacking chinois appelé Axiom, également connu sous les noms de APT17, groupe 72, DeputyDog, équipe de hayon, Hidden lynx ou AuroraPanda.
