CCleaner-Malware: Avast veröffentlicht weitere Analyse-Ergebnisse
In einem neuen Blogeintrag nennt Avast weitere Details zum Schadcode in CCleaner 5.33.6162. Dazu zählen konkrete Angriffsziele und Infektionszahlen sowie Angaben zu möglichen Herkunftsländern der Täter.
(Bild: pixabay.com)
Im Rahmen einer Backup-Analyse des Command-and-Control (C&C)-Servers, der mit der Malware-Komponente des verseuchten CCleaners kommunizierte, hat Avast neue Erkenntnisse zu Angriffszielen und Täter gewonnen. In einem am heutigen Montag veröffentlichten Blogeintrag beziffert der AV-Hersteller die Gesamtzahl aller Verbindungen mit dem C&C-Server auf 5.686.677. Diese verteilen sich auf 1.646.536 – anhand ihrer MAC-Adressen eindeutig identifizierbare – Rechner.
Der zuvor veröffentlichte Hinweis, dass die vom Server ausgelieferte Payload lediglich auf wenige große Firmen abzielte, behält weiterhin seine Gültigkeit: Avast listet als potenzielle Angriffsziele Domains von insgesamt 25 Firmen auf. Nur an 12 von ihnen wurde der Schadcode tatsächlich ausgeliefert. Aktiviert wurde er auf insgesamt 40 PCs, von denen mehr als die Hälfte in zwei taiwanischen und japanischen Unternehmen stehen. In Deutschland wurde laut Avasts Angaben lediglich ein einziger, zur Unternehmensgruppe Gauselmann (ein Hersteller von Spielautomaten) gehöriger Rechner infiziert. Die betroffenen Firmen seien informiert und ihnen weiterführende technische Details mitgeteilt worden.
(Bild: Avast)
Kriminalität als Fulltime-Job
Bereits in einer vorangegangenen Analyse vom vergangenen Donnerstag hatte Avast die Angreifer im asiatischen Raum – möglicherweise in China – verortet. Um diese Hinweise zu validieren, haben die Sicherheitsexperten die Zeitpunkte des C&C-Server-Zugriffs durch dessen Betreiber analysiert. Sie stellten dabei Regelmäßigkeiten fest, die "typisch für Arbeitende im IT-Bereich" seien: Einen Acht-Stunden-Tag, gefolgt von vier bis fünf Stunden Inaktivität und vereinzelten Zugriffen am Abend. Aus der sehr geringen Zugriffszahl an Wochenenden schlossen sie außerdem, dass es sich nicht um arabische Staaten handeln könne.
Avast grenzte die in Frage kommenden Zeitzonen auf UTC+4 und UTC+5 ein. Somit sei es wahrscheinlich, dass die Angreifer aus Russland, dem östlichen Teil des Nahen Ostens, Zentralasien oder auch Indien stammten. Zu dieser Eingrenzung passe auch die Tatsache, dass weder russische noch chinesische oder indische Firmen zu den Angriffszielen gezählt hätten. (ovw)
