Avast, moederbedrijf van CCleaner-ontwikkelaar Piriform, heeft de volledige gegevens van de c2 -server in handen gekregen, die met een backdoor in de software in verbinding stond. Op basis daarvan zegt het bedrijf dat veertig systemen malware ontvingen via de backdoor.

Volgens het bedrijf ging het daarbij om de second stage payload en waren de systemen vervolgens 'daadwerkelijk vatbaar voor kwaadaardige code'. De eerste trap van de malware, de backdoor zelf, diende voor het verzamelen van systeeminformatie, zo bleek uit een eerdere analyse. De tweede trap bestond uit een trojan waarmee uiteindelijk code op geïnfecteerde systemen uitgevoerd kon worden. Vorige week werd duidelijk dat de aanvallers achter de CCleaner-hack zich op grote techbedrijven richtten.

Doordat Avast nu over de volledige MySQL-database van een back-up-c2-server beschikt, kan het de volledige lijst van doelwitten publiceren. Dit is een aanvulling op de lijst die beveiligingsbedrijf Talos vorige week al publiceerde. Onder meer de twee bedrijven met de meeste geïnfecteerde systemen, in beide gevallen meer dan negen, ontbraken in dat overzicht. Het gaat om het Japanse NEC en het Taiwanese Chunghwa Telecom. Volgens Avast zijn deze bewust verwijderd uit de database, nadat de tweede trap van de malware was uitgestuurd.

De volledige gegevens, met uitzondering van een periode van veertig uur, stellen Avast in staat om meer statistieken te publiceren. Zo blijkt dat in totaal meer dan 1,5 miljoen unieke pc's verbinding maakten met de c2-server en dat er meer dan 5,5 miljoen verbindingen plaatsvonden. Uit de logbestanden van de server blijkt verder dat de aanvallers veelvuldig inlogden, in totaal 83 keer. Avast zegt in de toekomst meer informatie te willen publiceren over de tweede trap van de malware.