Britischer Sicherheitsforscher deutet möglichen Malware-Angriff per CCleaner an.
Der bekannte britische Sicherheitsforscher Kevin Beaumont berichtete die vergangenen Tage nicht nur über den NetScaler-Fall, sondern auch über ein weiteres Citrix betreffendes Thema. In einem am 23. September veröffentlichten Tweet behauptete er, auch Citrix gehörte zu den Angriffszielen der Malware, die in einer bestimmten Version des CCleaner gefunden wurde.
Citrix was one of the targets with CCleaner, they had their internal AD domain.
— Kevin Beaumont ? (@GossiTheDog) 23. September 2017
„Citrix war eines der Ziele mit CCleaner, sie hatten ihre interne AD-Domain“, twitterte Beaumont.
Hacker hatten es geschafft Malware in die Webseite von Piriform zu schleusen, dem Hersteller des CCleaner. Betroffen waren die 32-Bit-Version CCleaner v5.33.6162 und CCleaner Cloud v1.07.3191, die bei der Installation des beliebten Tools Malware auf den Rechnern der Nutzer installierte. Diese geht recht gezielt vor und greift nach Aussagen diverser Experten ganz gezielt bestimmte Firmen an, wie u. a. Sony, Intel, HTC, Samsung, VMWare und Microsoft. Laut Beaumont soll sich auch Citrix darunter befinden.
Piriform hat die infizierte Version inzwischen entfernt und bietet die saubere Version 5.34 zum Download an. Betroffenen Nutzern wird empfohlen die Version 5.33.6162 zu entfernen und durch die neue Version zu ersetzen. Laut Aussage des Herstellers haben rund 2,27 Millionen Nutzer die infizierte Version des CCleaner heruntergeladen. Die infizierte Version soll sich noch auf gut 700.000 Rechnern befinden. Die Malware richtet eine zweistufige Backdoor auf betroffenen Systemen ein, jedoch soll es bis zur Entdeckung des Sicherheitsproblems zu keiner weiteren Infektion dadurch gekommen sein, so Piriform gegenüber The Register.
Einmal aktiviert, sammelt der Schadcode diverse Informationen, wie Computername, MAC-Adresse und Admin-Privilegien und schickt diese an einen entfernten Server. Laut Piriform ist dieser Server auch in der Lage gewesen weiteren Schadcode durch die Backdoor auf den Rechner zu laden, allerdings konnte man solch einen Vorgang bis dato nicht beobachten.
Von Seiten Citrix liegt keine Stellungnahme bezüglich eines Malware-Angriffs vor. Auch Beaumont selbst wollte sich an keinen weitergehenden Spekulationen beteiligen, wie er noch am Samstag, den 23. Sep. 2017, twitterte.
