Dat ontdekten onderzoekers van Talos, een tak van beveiligingsbedrijf Cisco.

De hackers konden de malware meesturen doordat ze waren ingebroken bij het Britse bedrijf Piriform, dat CCleaner ontwikkelt. CCleaner is gratis software waarmee de prestaties van een computer verbeterd kunnen worden. Volgens de onderzoekers wordt het programma vijf miljoen keer per week gedownload voor pc’s en Android-telefoons.

In een versie van CCleaner die in augustus gedownload kon worden, zaten ook diensten verborgen waarmee een aanvaller toegang kon krijgen tot het apparaat. De diensten probeerden verbinding te maken met diverse niet-geregistreerde websites, mogelijk om nog meer malware te downloaden. Het programma is sinds de hack 2,27 miljoen keer gedownload, zegt Ondrej Vlcek, CTO van moederbedrijf Avast, tegenover Bleeping Computer.

Tegenover Reuters zegt onderzoeker Craig Williams dat de malware zich op vergelijkbare wijze verspreidde als de NotPetya-aanval in juni. Die malware werd verspreid via besmette Oekraïense boekhoudsoftware.

Net als bij NotPetya hebben gebruikers ook bij deze aanval niet door dat er malware geïnstalleerd wordt. CCleaner heeft bovendien een digitaal certificaat, waardoor computers het programma automatisch vertrouwen.

Piriform heeft bevestigd dat er twee programma’s die in augustus verschenen besmet zijn. Het gaat om de 32-bitsvarianten van CCleaner en CCleaner Cloud. Avast, het moederbedrijf van Piriform, ontdekte de aanvallen op 12 september.

Piriform adviseert gebruikers van CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 om nieuwe versies van de software te downloaden. De programma’s updaten niet automatisch.