Раніше цього тижня, коли було повідомлено про вилучення CCleaner, дослідники запевнили користувачів, що немає другої стадії шкідливого програмного забезпечення, яке б використовувалось в масовій атаці. Також їм повідомили, що простого оновлення версії достатньо, щоб позбутися шкідливого програмного забезпечення. Проте, під час аналізу серверу хакерських команд і управління (C2), до якого підключені шкідливі версії CCleaner, дослідники з Cisco Talos Group виявили докази другого корисного навантаження (GeeSetup_x86.dll, бекдор), який доставлявся до певного списку комп'ютерів на основі локальних доменних імен. Відповідно до заздалегідь визначеного списку в конфігурації сервера C2, атака була призначена для пошуку комп'ютерів у мережах великих технологічних компаній і доставки вторинного корисного навантаження. В цей список входили:

• - Google
• - Microsoft
• - Cisco
• - Intel
• - Samsung
• - Sony
• - HTC
• - Linksys
• - D-Link
• - Akamai
• - VMware

У базі даних дослідники знайшли список майже 700 тисяч комп'ютерів, заражених шкідливою версією CCleaner, тобто першочерговим корисним навантаженням. Також був знайдений список щонайменше 20 машин, заражених вторинним корисним навантаженням, для отримання більш глибокого уявлення про ці системи. Хакери CCleaner спеціально вибрали ці 20 машин на основі їхнього доменного імені, IP-адреси та хоста. Дослідники вважають, що вторинне зловмисне програмне забезпечення, ймовірно, призначене для промислового шпигунства. Простого видалення програмного забезпечення Avast з заражених машин недостатньо, щоб позбутися корисного навантаження CCleaner другого рівня з їхньої мережі, з ще активним C2-сервером нападників. Отже, постраждалим компаніям, чиї комп'ютери заражені шкідливою версією CCleaner, рекомендується повністю відновити свої системи з резервних версій перед установкою антивірусного ПЗ.