אחת התוכנות הפופולאריות בעולם נפרצה על ידי האקרים, שהצליחו להצמיד לה תוכנה זדונית, כך חשף אתמול (ב') Talos, צוות האבטחה של סיסקו.

התוכנה שנפרצה היא CCleaner, אחת התוכנות המוכרות והאמינות ביותר לניקוי מחשבים מקבצים מיותרים - כולל תוכנות זדוניות, אגב - לצורך שיפור המהירות שלהם ופינוי נפח אחסון. לפי החברה, נכון ללפני כשנה היא היתה מותקנת על יותר מ-2 מיליארד מחשבים, וכל שבוע מורידים אותה יותר מ-5 מיליון איש.

לפי הפרטים שפורסמו, האקרים הצליחו לקבל גישה לשרת של מפתחת התוכנה - החברה הבריטית Piriform שנרכשה לאחרונה על ידי יצרנית האנטיוירוס Avast. אז הם הצמידו לכל הורדה של התוכנה קוד זדוני ש"רכב" עליה.

התוכנה הזדונית לא החליפה את התוכנה המקורית, ולא ניתן היה להבחין בה בעת ההתקנה. הרושעה ניהלה תקשורת עם שרתי פיקוד, שלחה אליהם מידע על המחשב שעליו היא נמצאת - כולל השם והכתובת שלו ברשת, רשימת התוכנות המותקנות עליו ועוד - וחיכתה לפקודות ממפעיליה.

פיריפורם עצמה הודתה בפריצה וקראה למשתמשים להתקין את הגרסה החדשה של התוכנה, הזמינה באתר החברה.

הגרסה הנגועה היתה זמינה להורדה במשך כמעט חודש שלם, ולפי החברה הורדה שניים ורבע מיליון פעמים. לפני שבוע היא זוהתה ושרת הפיקוד שלה נוטרל - למרבה המזל לפני שהחל להעביר לתוכנה הנגועה פקודות.

סי-קלינר אינה התוכנה הלגיטימית הראשונה שהאקרים מוצאים דרך לנצל אותה לצרכים פחות לגיטימיים: בשבוע שעבר דיווח אתר BetaNews על דרך קלה במיוחד שנמצאה לפרוץ למחשבים דרך תוכנה לגיטימית לכאורה: השתלטות על דף של תוכנה שנסגרה.

התוכנה המדוברת היתה מאגר תוספים (רפוזיטורי, או בקיצור רפו) לתוכנת נגן המולטימדיה קודי. מאגר תוספים הוא תוכנה ה"מארחת" קבצי התקנה של תוכנות קטנות שמרחיבות את היכולות של קודי ומאפשרות לה למשל להתחבר לשירותי וידאו שונים (חוקיים יותר או פחות). הרפו המסוים הזה נקרא MetalKettle, ונסגר לאחרונה לאחר גל של פשיטות מצד גורמי חוק על מפעילי תוספים לקודי בחשד לעידוד פיראטיות.

אך לאחר הסגירה, כפי שהתברר, השתלט האקר על הדף של התוכנה באתר הקוד הפתוח GitHub, בו היא התארחה. הוא פשוט נרשם מחדש באותו שם ויכול היה להעלות תוכנה אחרת שתתפוס את מקומה של MetalKettle, אך תשרת מטרות אחרות לחלוטין.

"מישהו רשם מחדש את MetalKettle ב-GitHub", מיהר מפתח הרפו להזהיר בטוויטר. "בתיאוריה הוא יכול לזהם מכשירים שהמאגר עדיין מותקן עליהם. #זהלאאני", הוא סיכם. מאוחר יותר מחק לחלוטין את חשבונו, ככל הנראה מחשש שרשויות חוק ישתמשו בחשבון כדי למצוא אותו ולתבוע אותו.