Warnung: CCleaner 5.33 mit Schadsoftware belastet

Etwa einen Monat lang wurde die bekannte Tuning-Anwendung „CCleaner“ mit einem unerwünschten blinden Passagier ausgeliefert. Forscher von Talos haben herausgefunden, dass über die offiziellen Downloadserver des Herstellers eine mit einer Schadsoftware infizierte Version der Anwendung verteilt wurde. Zwei Fakten machen diesen Zwischenfall besonders brisant: zum einen ist die Anwendung sehr verbreitet. Nach eigenen Angaben ist die Anwendung weltweit mehr als zwei Milliarden mal heruntergeladen worden. Die Zahl der betroffenen Anwender ist also unbestreitbar hoch. Zum anderen ist die infizierte Version von CCleaner mit einem gültigen Zertifikat signiert. Ein solches Zertifikat soll unter anderem sicherstellen, dass eine Anwendung von einem vertrauenswürdigen Hersteller stammt. Jemand, der ein gestohlenes Zertifikat zum Signieren von Malware einsetzt, kann also eine breite Basis erreichen – unsignierte Anwendungen werden von Windows nicht ohne Weiteres ausgeführt.

Die manipulierte Version 5.33 des CCleaners wurde zwischen dem 15. August und dem 12. September über die offizielle Downloadseite ausgeliefert und wird von allen G DATA-Lösungen erkannt als Win32.Backdoor.Forpivast.A.

Eine bereinigte Version ist bereits veröffentlicht worden. Anwender, die die Betroffene Version installiert haben, sollten die aktuelle Version 5.34 installieren. In den kostenfreien Versionen des Programms sind die Updates nicht automatisiert. In diesem Fall muss die aktuelle Installationsdatei heruntergeladen und installiert werden.

Die Tatsache, dass die infizierte Version (5.33) mit diesem gültigen Zertifikat signiert war, kann ein Anzeichen für verschiedene Sicherheitsprobleme sein, von einer Sicherheitslücke im Signierungsprozess des Herstellers bis hin zu einer Kompromittierung der Stelle, die das Zertifikat ausgestellt hat.

Es ist jedoch kein neues Phänomen, Schadsoftware mit gestohlenen Zertifikaten zu signieren oder Malwarebelastete Versionen vertrauenswürdiger Software über offizielle Downloadseiten zu verteilen. In der Vergangenheit ist dies bereits mit einem Torrent-Client für Mac geschehen, sowie mit einer Linux-Distribution. Die Schadsoftware „Petna“ nutzte für die Verbreitung die Update-Infrastruktur einer Finanzsoftware.

Malware-Autoren betreiben also zunehmenden Aufwand, um viele Rechner in möglichst kurzer Zeit zu infizieren. Die „Supply Chain“ ist also ein sehr lohnendes Ziel für Kriminelle, die eine hohe Reichweite für ihre Schadsoftware erzielen wollen. Gelingt es, einen Teil des Warenkreislaufs zu infiltrieren, hat dies direkte Konsequenzen – auch dies ist in der Vergangenheit bereits geschehen.