CCleaner-Hack: Raffinierte Malware mit Keylogger-Funktionalität entdeckt

Avast hat neue Details bekanntgegeben, wie Hacker CCleaner 2017 über mehrere Wochen hinweg zur Malware-Schleuder umfunktionierten und was sie weiter planten.
 
Laut einem Blogpost des heutigen CCleaner-Besitzers Avast sei das Konzept der Hacker dreistufig gewesen.
 
In Phase eins wollten die Hacker nur nicht sensible Informationen von CCleaner-Benutzern sammeln, beispielsweise den Namen des Computers, die installierte Software und eine Liste der laufenden Prozesse.
 
In Phase zwei waren offenbar nur noch etwa 40 Firmencomputer von Interesse, der Rest der 2,27 Millionen infizierten CCleaner-User aber nicht. Wer waren die 40 Unternehmen? Anscheinend Cisco, Google, Oracle, Intel, Akamai, Microsoft und andere Tech-Firmen, wie die IT-Sicherheitsfirma Cisco Talos kurz nach Bekanntwerden des CCleaner-Hacks gesagt hatte.
 
Avast selbst sagt nichts Genaueres zu diesem Verdacht der Tech-Industriespionage, sondern nur, dass nur spezifische Computer von internen Netzwerken im Visier gewesen seien. Es sei eine sehr gezielte Attacke im Gange gewesen.
 
Nun ist offenbar klar, wie Phase drei hätte aussehen sollen, wäre der Hack nicht entdeckt worden. Avast hat seither Piriform übernommen und die Build-Umgebung des CCleaner-Herstellers in eine eigene Infrastruktur migriert. In der Analyse habe man dann Malware namens Shadowpad gefunden. Diese habe vier Piriform-Computer infiziert gehabt.
 
Da Shadowpad unter anderem Keylogger-Funktionalitäten beinhaltet und diese auf den vier Computern schon aktiv die Tastaturbewegungen protokollierte, sei dies wohl in Vorbereitung des eigentlich Hacks geschehen. Des Weiteren sei ein Passwort-Diebstahl-Plugin von Shadowpad gefunden worden sowie die Möglichkeit, weitere Malware-Plugins herunterzuladen.
 
Shadowpad hätte in Phase drei auch bei den eigentlichen rund 40 Opfern installiert werden sollen, glaubt Avast, nicht nur bei Piriform.
 
Bei CCleaner-Usern habe man Shadowpad aber nicht gefunden, soweit man dies beurteilen könne.
 
Und die ebenso interessante Frage: Wer wars? Wie immer ist die Antwort schwierig zu finden. Laut Avast, Cisco Tales und Kaspersky steckt eine Gruppe namens Axiom dahinter und diese wiederum sei chinesischen Kreisen zuzuordnen.
 
Shadowpad wurde 2017 zuerst von Kaspersky entdeckt: Als Backdoor im Code der Netzwerk-Administrations-Software des südkoreanischen Herstellers NetSarang, die von vielen Grossfirmen eingesetzt wird. (mag)