Il celebre software di ottimizzazione del sistema è stato compromesso da ignoti, che l'hanno sfruttato per distribuire malware a migliaia di utenti ignari del fatto.
Chi sono i destinatari dell'attacco?
Diversi gli obbiettivi degli attaccanti, in primis i giganti della tecnologia: Microsoft, Cisco, Samsung, Sony, VMware Intel, Cisco e altre note aziende del settore. Questo per citare soltanto i nomi più popolari. Tra gli altri obbiettivi vi sarebbero stati anche istituti bancari e istituzioni governativi di diversi Paesi.
Nonostante il software infetto fosse scaricabile dai server ufficiali di Piriform, la colpa non è dei suoi sviluppatori, ma presumibilmente di un insider di Avast, con la complicità dei certificati Symantec.
Come è stato scoperto?
A rilevare il malware è stata la stessa Cisco che, dopo aver scoperto il malware, ha fatto ulteriori approfondimenti. Alcuni giorni or sono gli esperti di sicurezza di Cisco Talos hanno avviato il beta testing di un nuovo sistema di identificazione degli exploit accorgendosi di un comportamento malevolo a opera di CCleaner v5.33. Durante l'installazione su sistemi operativi a 32-bit, la suddetta versione del software depositava sul sistema un payload aggiuntivo dalla natura malevola noto come Floxif.
Come funziona il Malware in CCleaner?
Il malware è programmato per raccogliere informazioni sul sistema infetto e di trasferirle.
L’attacco è stato strutturato in modo sofisticato. Prima la violazione dei sistemi di Piriform che ha consentito l’introduzione del Malware e la a distribuzione di massa della backdoor in CCleaner nella versione distribuita tra Agosto e Settembre.
Poi la backdoor è stata attivata e le centinaia di migliaia di copie di CCleaner hanno contattato un server centrale per scaricare il vero e proprio malware, in una classica strategia di Command&Control.
Un'operazione capace di compromettere dati particolarmente sensibili come il nome del PC, la lista dei software installati, l'indirizzo MAC delle prime tre interfacce di rete, un identificativo univoco per ogni sistema infetto. In teoria, Floxit è anche in grado di scaricare nuovi binari eseguibili per distribuire ulteriori minacce.
Danni rilevati ad oggi?
Il Malware in CCleaner avrebbe contagiato 700.000 dispositivi in tutto il mondo e se, in una prima fase, si pensava che in realtà non avesse fatto danni o sottratto informazioni, oggi si è venuto a saper che il malware si è attivato su almeno 20 pc delle società elencate andando a raccogliere informazioni e dati sensibili.
Questi sono i dati riferiti agli ultimi 4 giorni, tuttavia, se si considera che la backdoor è stata attiva per 31 giorni, è probabile che le macchine affette siano nell’ordine delle centinaia.
E' quindi probabilmente presto per disporre di dati certi sugli esiti dell'attacco, quest'ultimo potrebbe essere inoltre ancora in corso perché è possibile che numerosi utenti non abbiano provveduto a rimuovere la versione infetta di CCleaner o a ripulire il proprio sistema al fine di eliminare il malware.
Qual'é il vero rischio in caso di infezione?
Se avete il malware attivato significa che è aperta una porta (backdoor) sul vostro pc e dall'esterno i malintenzionati potrebbero prendere pieno controllo del vostro pc, con tutte le sue informazioni, oltre ad avere pieno accesso alla rete aziendale.
Cosa fare per rimuovere il malware in CCleaner?
Craig Williams, Senior Technology Leader di Talos, sostiene che l’unico rimedio contro la backdoor è formattare l’hard disk. Aggiornare i prodotti CCleaner non azzera affatto i rischi, in quanto bloccherebbe esclusivamente il primo stadio dell’infezione: la raccolta d’informazioni. Purtroppo il malware è in grado di sopravvivere anche ad un’eventuale disinstallazione.
ATTENZIONE! SOLO QUESTA VERSIONE DI CCLEANER E' POTENZIALMENTE A RISCHIO!
Piriform ha riconosciuto l'esistenza del RISCHIO di infezione SOLO in CCleaner versione 5.33.6162 e nel software CCleaner Cloud 1.07.3191.
Quindi vi invitiamo a verificare la versione del vostro software CCleaner ed eventualmente avvisarci tempestivamente per poter organizzare insieme la pulizia.
CONTATTACI SUBITO PER CONCORDARE ANALISI E PULIZIA URGENTE DEI TUOI SISTEMI!
Oppure se preferisci contattaci allo 045 6888530
Fonti:
- http://punto-informatico.it/4402799/PI/News/ccleaner-utility-dispensa-malware.aspx
- https://www.mrwebmaster.it/news/malware-ccleaner-conta-danni_13692.html
- https://www.digitalic.it/computer/malware-ccleaner-spionaggio-industriale
- http://www.dday.it/redazione/24295/ccleaner-infezione-da-allarme-rosso-meglio-formattare-il-pc