Fake CCleaner-Suchergebnisse verlinken auf Malware (Trojaner)

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Piriform CCleaner ist zwar kostenlos, aber es gibt auch eine kostenpflichtige Pro-Version. AVAST hat jetzt eine Malware-Kampagne (FakeCleaner) entdeckt, bei der Cyberkriminelle Suchergebnisse nach einem gecrackten CCleaner Pro so manipuliert haben, dass diese als Malware-Schleuder fungierten. Folgen Nutzer den Links dieser Treffer, laden sie sich eine Malware auf System, die Informationen stiehlt (Trojaner bzw. Information Stealer). Könnte natürlich auch passieren, dass bei einer Suche nach „CCleaner“ solche manipulierten Ergebnisse auftauchen.

CCleaner ist ein kostenloses Programm zur Optimierung für die Betriebssysteme Windows, macOS und Android. Darüber hinaus gibt es für Windows weitere Versionen, die kostenpflichtig als Business Solutions angeboten werden. Das Programm wurde laut Hersteller bis 2020 mehr als zweieinhalb Milliarden Mal heruntergeladen. Der Entwickler, die Piriform Ltd. gehört seit 2017 zum tschechischen Antivirusanbieter AVAST. Und AVAST wurde 2021 von Norton gekauft (siehe Avast wird von Norton für 8,6 Milliarden US-Dollar gekauft).

Hier im Blog hatte ich den CCleaner bereits häufiger thematisiert (siehe Artikelende) – die Meinung zu diesem Programm ist im Blog-Beitrag CCleaner: Von Schlangenöl und einer Microsoft-Warnung nachzulesen. Microsoft hatte das Teil sogar schon mal kurzzeitig als potentiell unerwünschtes Programm (PUP) klassifiziert (siehe Windows Defender markiert CCleaner als PUP – Teil 1). Aber ich muss feststellen, dass immer noch Millionen Anwender auf CCleaner schwören. So viel zum Hintergrund.

Gecrackter CCleaner Pro als Köder für Malware-Falle

Wo eine Software begehrt ist und zudem noch in einer kostenpflichtigen Pro-Variante erhältlich ist, sind Lug und Betrug nicht weit. Manche Nutzer möchten zwar den CCleaner Pro, aber nichts bezahlen. Also suchen Sie in den Seiten des weiten Internet nach gecrackten Versionen. Der tschechischen Antivirusanbieter AVAST hat kürzlich festgestellt, dass Cyberkriminelle Nutzer mit einem angeblich gecrackten CCleaner Pro als Köder zur Installation einer Malware, Trojaner, der Informationen stiehlt, verleiten wollen.

Piriform CCleaner Pro as info stealer trap

Ich bin über obigen Tweet der Kollegen auf Thema aufmerksam geworden. Cyberkriminellen ist es in einer Blackhat-SEO-Kampagne gelungen, Suchergebnisse für ein eigenes Angebot bei Suchmaschinen ganz nach vorne in der Trefferliste zu katapultieren.

Blackhat-SEO ist ein Begriff aus der Suchmaschinenoptimierung, um Webseiten dort bei den Treffern nach oben zu bringen, wobei von den Suchmaschinen verpönte (illegale) Methoden verwendet werden. Dazu gehört unter anderem die automatische Generierung von Texten und das Eindringen in fremde Systeme zum Setzen von Backlinks, um das Ranking der eigenen Seite zu verbessern.

Den Analysten von Avast ist die FakeCrack genannte Kampagne zur Verbreitung von Malware aufgefallen, weil die Telemetrie der AVAST Sicherheitslösungen plötzlich anschlug. Täglich wurden etwa 10.000 Benutzer, hauptsächlich aus Brasilien, Indien, Indonesien und Frankreich, vor einer Infektion geschützt. Als die Sicherheitsexperten genauer hinschauten, stellten sie fest, dass die Nutzer auf Google nach „ccleaner pro crack“ gesucht hatten.

ccleaner pro crack search results in malware campaign
Fake „ccleaner pro crack“ Suchergebnisse in Google, Quelle: AVAST

Die Treffer wurden von Google ganz vorne auf den ersten Plätzen angezeigt (siehe obiger Screenshot). Ich habe mal kurz getestet, es werden noch eine Menge solcher Treffer angezeigt – obwohl AVAST da inzwischen eine Link-Eintrag dazwischen platzieren konnte, der erklärt, wie man an den CCleaner Pro kommt.

An dieser Stelle setze ich mal voraus, dass die nachfolgende Info von AVAST nicht auch eine FAKE-Meldung ist, um Leute von der Suche nach gecrackten CCleaner Pro-Varianten abzuhalten.

Geschützte ZIP-Archiv mit Trojaner

Wer die betreffenden Links anklickte, wurde laut AVAST zu einer umfangreichen Infrastruktur, die Malware liefert, weitergeleitet. Die AVAST-Leute wundern sich über den Umfang dieser Infrastruktur. Nach dem Klicken auf den Link wird der Benutzer über ein Netzwerk von Domänen zur Zielseite weitergeleitet. Diese Domains haben ein ähnliches Muster und sind auf Cloudflare unter Verwendung einiger Namensserver registriert. Der erste Domaintyp verwendet das Muster freefilesXX.xyz, wobei XX für Ziffern steht. Diese Domain dient normalerweise nur als Weiterleitung. Die Weiterleitung führt zu einer anderen Seite mit der Top-Level-Domain cfd. Diese cfd-Domains dienen sowohl als Weiterleitung als auch als Landing Page.

Jedenfalls gelangte der Nutzer am Ende zu einem Download einer vermeintliche gecrackten CCleaner Pro-Version. Der Link verwies dabei zu einer legitimen File-Sharing-Plattform (z. B. die japanische Dateifreigabe filesend.jp oder mediafire.com). Die Akteure, die hinter der Kampagne stehen, lieferten dann aber ein mit dem Kennwort (meist 1234) geschütztes ZIP-Archiv aus. Das Kennwort verhindert, dass das Archiv durch Antivirus-Software gescannt wird. Die ZIP-Datei enthält in der Regel eine einzige ausführbare Datei, die üblicherweise setup.exe oder cracksetup.exe genannt wurde. AVAST hat acht verschiedene ausführbare Dateien gefunden, die von dieser Kampagne verbreitet wurden.

Wer diese Datei ausführte, holte sich eine Malware (Trojaner) auf das System, die persönliche und andere sensible Daten stahl. Die Akteure konzentrieren sich darauf, den PC des Benutzers zu scannen und private Informationen, wie etwa Passwörter oder Kreditkartendaten, aus den dort vorgefundenen Browsern zu sammeln. Es werden auch Daten aus elektronischen Geldbörsen gesammelt. Die Daten wurden in einem verschlüsselten ZIP-Format auf C2-Server übertragen. Der Schlüssel zur Verschlüsselung der ZIP-Datei ist jedoch fest in die Binärdatei einkodiert, so dass es nicht schwierig war, an den Inhalt zu gelangen. Die verschlüsselte ZIP-Datei enthält alle zuvor erwähnten Informationen, wie z. B. Informationen über das System, installierte Software, Screenshots und vom Browser gesammelte Daten, einschließlich Passwörter oder private Daten von Krypto-Erweiterungen.

Wer sich für das Thema interessiert, kann den Bericht von AVAST durchgehen. Dort wird auch erklärt, wie man den Proxy, den die Malware-Infektion in der Registrierung von Windows hinterlassen hat, wieder entfernt.

Ich formuliere es mal abschließend so: Da bekommt mein „Finger weg vom CCleaner“-Tipp, den ich schon in anderen Artikeln gab, eine gänzlich neue Bedeutung. Der regulären Blog-Leserschaft ist das schon klar, und auch, dass man sich keine gecrackte Software auf das System holt. Aber ich habe den Fall hier im Blog aufgenommen, da es auch den Typ des „ich probiere es mal“-Anwenders gibt.

Ähnliche Artikel:
AVAST CCleaner 5.45 und die Telemetrie
CCleaner 5.45 zurückgezogen und weitere Merkwürdigkeiten
CCleaner: Automatisches Update von Version 5.38 auf v5.46?
CCleaner V 5.46 will verbesserte Dateneinstellungen bieten
Vorsicht vor CCleaner – AVAST als PUP im Beifang
CCleaner: Von Schlangenöl und einer Microsoft-Warnung
Autsch: CCleaner als Malware-Schleuder
AVAST-Stellungnahme zur CCleaner-Backdoor
AVAST: CCleaner Malware zielte auf Firmen
CCleaner Malware – weitere Analysen von AVAST
Windows 10 V1809: Update KB4469342 blockt alten CCleaner
CCleaner v5.57.7182 mit Easy Clean-Mode
Finger weg vom CCleaner 5.59.7230 mit CCleaner Browser
Problem: CCleaner 5.69 löscht Dateien von Firefox-Erweiterungen
CCleaner v5.70 fixt Firefox-Bug
Windows Defender markiert CCleaner als PUP – Teil 1

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Fake CCleaner-Suchergebnisse verlinken auf Malware (Trojaner)

  1. Luzifer sagt:

    Naja das man Malware kriegen kann, dieses Problem hat man doch bei jeder gecrackten Software. Sicher ist man da nur wenn man in der Lage ist selbst zu cracken.

    Das gecrackte Software unsicher sein kann das kennt man seit Amiga Zeiten. Interessant wäre das wenn original Software mißbraucht würde.

    gecrackte Software fällt doch ganz eindeutig unter „eigene Dummheit“ und Original Software lädt man von der Herstellerseite und nicht über google & Co.

    Das ist wieder so ein typisches Problem das man ganz einfach vermeiden kann.

  2. Sportacus sagt:

    Wichtig wäre evtl. auch noch zu erwähnen, dass die Firma, die CCleaner entwickelt hat, 2017 durch Avast gekauft wurde.
    Ich würde diesen „Bericht“ von Avast dann doch eher als Eigenwerbung einstufen.

    Das gecrackte Software, oder ein „angeblicher“ Crack, Schadsoftware enthalten kann, ist ja nichts Neues.

    Interessant ist, das man hier lt. Bericht von Avast alles manuell entfernen muss.
    Man wird nur darauf hingewiesen, das 10.000 Nutzer in Brasilien, Indien, Indonesien und Frankreich davon geschützt hat, indem Avast die Zieldomains sperrte.

    Und das funktioniert natürlich nur wenn man deren fragwürdigen Virenschutz installiert, der den ganzen Traffic (auch SSL) mitliest und dann filtert.

    Diese hat in der Vergangenheit zumindest bei einigen meiner Kunden dafür gesorgt, das an vielen Workstations gar kein Internet mehr ging.

    Weil eben genau dieser Filter auf Systemebene voll versagte.

  3. Oliver L. sagt:

    Absolut unbedenklich – es trifft schon genau die richtigen, nämlich CCleaner-Nutzer und Chip-Tuner und sonstige Besserwisser. Man soll nichts reparieren, was nicht defekt ist. Wir nutzen bei Unmengen von Kunden seit Jahrzehnten keinerlei Reparatur-Tools, lassen einfach alle automatischen Updates laufen und betreiben auch so Patch Management – und Wunder oh Wunder – alle Systeme laufen stabil, stürzen nicht ab, müssen nie neu aufgesetzt werden. Irgendwas machen wir falsch…
    Die Kunden installieren sich zwar auch selbst Unmengen diverser Fremdsoftware (Anwendungen und Treiber, die sie benötigen), aber auch darunter scheint keine zu sein, die die Systeme zerschießen oder nachhaltig schädigen. Und falls doch, wäre CCleaner und Konsorten das Letzte, was ich dann anwenden würde.

    • Frank sagt:

      Du sagst es! Wir lassen das nur über Bordmittel machen. Und wenn wir unseriöse Tools sehen erhöht sich die Rechnung automatisch. Auch verlagern wir den Bezug von Apps immer mehr in den Store.
      Treiber installieren wir übrigens nicht mehr manuell. Nur was über Windows Update angeboten wird kommt drauf!

  4. deoroller sagt:

    Die Datenträgerbereinigung reicht mir. Wenn ich die alle paar Monate anwerfe, entfernt sie Gigabytes an Müll. Wenn danach CCleaner kommt, findet es noch ein paar Kilobytes, womit nichts gewonnen ist. Aber wahrscheinlich reicht den Leuten das schon aus, dass sie es MS gezeigt haben und verwaiste Einträge in der Registry bringt gefühlt Lichtgeschwindigkeit. Früher wurden die Schalldämpfer aus dem Moped ausgebaut, weil der Krach grundsätzlich schneller macht.

    • Ralf S. sagt:

      😂
      „Früher wurden die Schalldämpfer aus dem Moped ausgebaut, weil der Krach grundsätzlich schneller macht.“

      Ja, genau SO war es! Musste gerade herzlich lachen und habe in alten Erinnerungen geschwelgt … Der „Lauteste“ war automatisch (zumindest verbal) immer der Schnellste! – Auch wenn er dann „beim Mofa-Rennen“ oftmals einer der Langsamsten war … Aber es klang halt „cool-geil-schnell“; eben wie ein richtiger „Heizer“ … :-)
      „Probleme“ hatte man(n) damals … ;-)

      Und so verhält es sich eben mit fast allem, von dem man persönlich absolut überzeugt ist (>> hier eben Software): Muss ja was bringen, da „ich“ es mir gekauft, gebaut, gebastelt, gesucht (…) hab …! Immer wieder interessant, wie sehr wir doch alle oftmals Opfer unserer eigenen psychologischen Unvollkommenheit sind/werden …

      • Homer sagt:

        Nein, nur Amateure haben die Schalldämpfer ausgebaut – Profis, die wir damals waren, hatten die Zylinderkopfdichtung entfernt und somit die Kompression erhöht, was das Mofa entschieden schneller machte (ツ)

  5. Patrick sagt:

    Ich nutze den CCleaner(Free Version) als Ergänzung, weiß aber auch genau, was ich da mache und setze nicht überall einen Haken. Die Registry Bereinigung wird auch nicht angerührt.

  6. meiner sagt:

    Warum nutzt man ein 3.Herstreller Tool obwohl Windows alles an Board hat!?

    Weil man keine Ahnung hat, ähnlich unserer Politik.

    Dum bleibt dumm, machste nix.

    • Dekre sagt:

      oh Gott, schon wieder diese.
      Seit wann hat Windows alles an Bord?

      Ich habe jetzt mal Diveres von „Windows an Bord“ mal blockiert. Dazu gehört die ganze Internet-Spielerei und sonstigen Blödsinn.
      Wieso soll es ein drittes Tool sein? Der Markt ist voll davon.

      Ich bin für guten Ratschlag dankbar, aber nicht für solche Allgemeinheit. Wer sich genau täglich mit seinen PC-System beschäftigt, sollte sich schon leicht auskennen. Ich denke, dass ich es tue.

      Ich habe eine CCleaner-Kauflizenz sog. „auf Lebenszeit“. Diese wird aber nicht mehr akzeptiert- Das ist aber mit den diversen Verkäufen von Ccleaner leicht problembehaftet. Das deshlab, weil die diversen Käufer dieses für sogenannte Spionage nutzen. Da muss man einfach mal die Ausgänge für CCleaner blockieren und dann passt es auch.

      Unabhängig davon gibt es unzählige Anbieter und Programm und auch Hersteller haben so was. Man muss nur aufpassen, welcher Hersteller will.

      MS ist mit seine Chome-basierten Edge-Browser ein Datensammler in oberster Liga. Wer aber denk, dass er mit anderen Browsern besser dran ist, muss aufpassen. Auch Firefox liefert Daten an Google.

      DiePsionage mit den verschiedneen Updaten hat diverse Züge angenommen und es werden immer wieder Lücken genutzt, um uns eine heile Welt vorzuspielen. „Ihre Daten sind sicher“ – Nur beim Wem? ist ist Frage!!

      Ich hatte mich hierzu schon mehrfach in der Vergangenheit geäußert. Es ändert sich nichts. Auch zu den Sicherungsystemen. Aber Junge werde ja nie klug und wollten nicht lernen.

  7. Thierry sagt:

    Ich nutze BleachBit, denn diese Anwendung bietet weit mehr als einen Putzer. Mehr? https://www.bleachbit.org/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert