Onbekende hackers hebben een achterdeurtje ingebouwd in de populaire Windows-applicatie CCleaner. Dat programma gebruiken veel eigenaren van Windows-systemen om hun computer op te schonen.

Wie de 32bit-versie van de nieuwste versie van CCleaner heeft gedownload tussen 15 augustus en 12 september heeft ongemerkt ook het achterdeurtje geïnstalleerd, schrijft beveiligingsbedrijf Talos Intelligence. Die versie van CCleaner is ook geschikt voor oudere systemen. Ook CCleaner Cloud, waarmee computers op afstand kunnen worden beheerd, is getroffen. Piriform, de ontwikkelaar van CCleaner, heeft het nieuws volgens Reuters bevestigd.

Volgens de ontwikkelaars van CCleaner is het programma al 2 miljard keer gedownload, 130 miljoen mensen gebruiken het programma actief. Tegenover Forbes zegt CCleaner-eigenaar Avast dat bijna 2,3 miljoen mensen het prorgramma in de gewraakte periode gedownload hebben.

Onduidelijkheden
Wie het achterdeurtje heeft aangebracht, is onbekend. Ook is onduidelijk waarvoor het was bedoeld. Een achterdeurtje op een computer kan worden gebruikt om het apparaat later instructies te geven, bijvoorbeeld het versturen van informatie of zelfs het aanvallen van andere computers.

Het lijkt erop dat de aanvallers toegang hebben weten te krijgen tot de omgeving waarin CCleaner wordt ontwikkeld. De versie met het achterdeurtje lijkt op het oog namelijk geheel legitiem: de digitale handtekening van het programma is gewoon aanwezig.

Bovendien is er op dit moment maar één virusscanner die het achterdeurtje detecteert. Alleen gebruikers van het vooral op Linux populaire ClamAV zijn beschermd.

Niet automatisch
De nieuwste versie van CCleaner, die op 12 september beschikbaar werd, bevat geen achterdeurtje. Wie de gekraakte versie heeft geïnstalleerd, kan volgens de beveiligers van Talos het beste een backup van voor 15 augustus terugzetten of zijn computer opnieuw installeren. Piriform adviseert gebruikers van CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 om nieuwe versies van de software te downloaden. De programma’s updaten niet automatisch.

De manier waarop het achterdeurtje is aangebracht doet denken aan de NotPetya-virusaanval van deze lente. Daarbij braken aanvallers in bij de ontwikkelaars van een Oekraïens boekhoudpakket en infecteerden de klanten. Dat leidde tot grote problemen, onder meer bij de containerterminals van APM in Rotterdam.