CCleaner là một chương trình tiện ích được thiết kế để xóa các tập tin không mong muốn khỏi máy tính. Phần mềm này sẽ loại bỏ các tập tin tạm thời chiếm dung lượng đĩa và các khóa của sổ đăng ký Windows không hợp lệ. Trong quá trình dọn dẹp, các tập tin độc hại ẩn trong hệ thống cũng sẽ bị xóa. Tháng 1 năm 2017, CNET đã đánh giá chương trình này là "Rất tốt".
Tuy nhiên, tháng 9 năm 2017, phần mềm độc hại CCleaner đã bị phát hiện. Tin tặc đã lấy chương trình hợp pháp và chèn mã độc được thiết kế để đánh cắp dữ liệu từ người dùng. Chúng đã biến một công cụ có chức năng xóa sạch phần mềm độc hại ẩn núp trên máy tính của bạn thành mối đe dọa nghiêm trọng đối với thông tin cá nhân và nhạy cảm.
Hiểu về mối đe dọa
Phần mềm độc hại này bao gồm hai Trojan, đó là Trojan.Floxif và Trojan.Nyetya, được chèn vào các phiên bản miễn phí của CCleaner phiên bản 5.33.6162 và CCleaner Cloud phiên bản 1.07.3191. Người ta tin rằng tin tặc đã xâm nhập vào môi trường xây dựng của CCleaner để chèn phần mềm độc hại.
Theo các báo cáo khác nhau, phần mềm độc hại này có khả năng thu thập dữ liệu cụ thể từ một hệ thống máy tính bị lây nhiễm, bao gồm địa chỉ IP và thông tin về phần mềm đã cài đặt và đang hoạt động, sau đó gửi nó đến máy chủ của bên thứ ba tại Hoa Kỳ.
Avast Piriform, công ty mẹ của CCleaner, đã phát hiện phần mềm độc hại này vào ngày 12 tháng 9 năm 2017 và ngay lập tức thực hiện các bước để khắc phục sự cố. Ban đầu, công ty tin rằng nó chỉ giới hạn ở các phiên bản nói trên chạy trên hệ thống Windows 32 bit và việc tải xuống các phiên bản nâng cấp của chương trình sẽ giải quyết được vấn đề. Người ta tin rằng hơn 2 triệu người dùng đã bị lây nhiễm.
Rất tiếc, công ty đã sớm phát hiện ra rằng sự lây nhiễm phần mềm độc hại nghiêm trọng hơn dự kiến ban đầu. Tải trọng giai đoạn hai được Cisco Talos phát hiện. Tải trọng này nhắm vào khoảng 20 công ty công nghệ lớn nhất, bao gồm Google, Microsoft, Cisco và Intel và đã lây nhiễm cho 40 máy tính.
Theo Wired, "Cisco cho biết họ đã thu được bản sao kỹ thuật số của máy chủ chỉ huy và kiểm soát của tin tặc từ một nguồn giấu tên có liên quan trong cuộc điều tra CCleaner. Máy chủ chứa cơ sở dữ liệu của mọi máy tính có cửa hậu đã "gọi điện về nhà" tới máy của tin tặc từ ngày 12 đến ngày 16 tháng 9".
Mặc dù không có bằng chứng xác thực nào xác định bên chịu trách nhiệm cho phần mềm độc hại CCleaner, các nhà điều tra đã phát hiện ra một mối liên hệ với nhóm tin tặc Trung Quốc có tên là Axiom.
Phần mềm độc hại CCleaner có chung mã với các công cụ mà Axiom sử dụng và dấu thời gian trên máy chủ bị xâm phạm khớp với múi giờ Trung Quốc; tuy nhiên, dấu thời gian có thể bị thay đổi hoặc sửa đổi, khiến việc xác định nguồn gốc trở nên khó khăn.
Kết hợp với việc lựa chọn mục tiêu công nghệ, điều này làm dấy lên mối lo ngại rằng phần mềm độc hại CCleaner có thể là một phần của cuộc tấn công do nhà nước tài trợ. Tính đến cuối năm 2017, cuộc điều tra về trách nhiệm của vụ xâm nhập vẫn đang được tiến hành.
Làm thế nào để loại bỏ phần mềm độc hại CCleaner?
Khi phần mềm độc hại CCleaner được phát hiện lần đầu tiên, người dùng được khuyến cáo nâng cấp lên phiên bản mới nhất của chương trình vì họ tin rằng đó là một sự cố bị cô lập và các phiên bản sau này đều an toàn. Tuy nhiên, việc phát hiện tải trọng giai đoạn hai khiến việc loại bỏ và bảo vệ trở nên phức tạp.
Kế hoạch phục hồi sau thảm họa có thể là cách duy nhất để thực sự đảm bảo máy tính của bạn không còn phần mềm độc hại CCleaner. Các nhà điều tra khuyến cáo phục hồi hệ thống về phiên bản được sao lưu trước ngày 15 tháng 8, thời điểm các công cụ bị lây nhiễm đầu tiên được phát hành.
Bạn nên gỡ cài đặt phiên bản CCleaner bị lây nhiễm và tiến hành quét diệt virus để đảm bảo hệ thống sạch. Nếu bạn quyết định cài đặt lại CCleaner, bạn nên cài phiên bản mới nhất hiện có hoặc tối thiểu là phiên bản 5.34 trở lên.
CCleaner được biết đến là một công cụ tuyệt vời để loại trừ các chương trình độc hại ẩn sâu trong các hệ thống máy tính, nhưng như sự cố phần mềm độc hại CCleaner đã chứng minh kể cả các chương trình được tạo ra để bảo vệ máy tính của chúng ta khỏi các mối đe dọa cũng không miễn nhiễm với tin tặc.
Kaspersky Internet Security đã nhận được hai giải thưởng AV-TEST cho hiệu suất và khả năng bảo vệ tốt nhất dành cho sản phẩm bảo mật internet năm 2021. Trong mọi bài kiểm tra, Kaspersky Internet Security đã thể hiện hiệu suất và khả năng bảo vệ vượt trội trước các mối đe dọa mạng.
