CCleaner: Hacker inseriscono una backdoor all'interno di alcune versioni per distribuire malware.


In questi giorni alcuni ricercatori di Cisco Talos hanno scoperto che un gruppo di hacker è riuscito a modificare l'installer di alcune versioni del popolare software CCleaner, inserendo una backdoor che consente la distribuzione di malware a milioni di computer in tutto il mondo. Fortunatamente AVAST, (che ha acquisito Piriform, i creatori del software in questione, lo scorso Luglio), è già intervenuta per bloccare la diffusione della minaccia, rimuovendo le versioni "incriminate"; anche se non ha tuttavia spiegato in che modo i cybercriminali hanno avuto accesso ai loro server. Difatti al riguardo i ricercatori di sicurezza di Piriform hanno spiegato: "Abbiamo rilevato un'attività sospetta lo scorso 12 Settembre ed abbiamo scoperto che un indirizzo IP sconosciuto ha caricato sui nostri server delle versioni modificate del software. Queste contenevano una backdoor con cui gli hacker avrebbero potuto entrare nel vostro Pc senza autorizzazione. Abbiamo lavorato con le forze dell'ordine per risolvere immediatamente il problema". In pratica, secondo recenti stime, CCleaner è risultato essere uno dei software di pulizia più usati in assoluto, (si contano oltre 130 milioni di utenti in tutto il mondo e circa 5 milioni di download ogni mese), in quanto permette di effettuare la manutenzione periodica e l'ottimizzazione delle prestazioni dei computer e degli smartphone, eliminando file superflui con estrema facilità: viene da sé che con numeri così importanti il rischio di una diffusione del malware su larga scala è piuttosto elevato. Ad ogni modo, entrando un po' più nei dettagli, gli esperti di Cisco Talos hanno individuato del codice infetto all'interno dell'installer a 32 bit della versione 5.33 pubblicata sul sito ufficiale dal 15 Agosto all'11 Settembre e nella versione 1.07.3191 di CCleaner Cloud. Inoltre, come spiegato anche dal ricercatore Craig Williams, l'attacco informatico ai danni di CCleaner è molto sofisticato visto che è riuscito a penetrare un software di ottima qualità, e probabilmente è stato reso possibile grazie alla manomissione dei computer degli sviluppatori: i malintenzionati hanno inserito un malware multi-stage e firmato il software con un certificato valido, rilasciato da Symantec. Insomma, in qualche modo il processo di sviluppo di CCleaner è stato compromesso ed è probabile che i cybercriminali abbiamo avuto accesso ai sistemi di Piriform tramite un account dell'azienda oppure siano stati aiutati da un "insider". Come se non bastasse, il codice inserito nell'installer è piuttosto complesso ed esegue una serie di operazioni per evitare di essere rilevato dai sistemi di analisi automatica: dopo aver verificato che l'utente possiede i privilegi dell'amministratore, il malware raccoglie i dati del sistema e li invia ad un server remoto. Per fortuna, secondo gli esperti, l'accatto hacker ai danni degli utenti di CCleaner è ad uno stadio iniziale, il che significa che per il momento il software maligno sta ancora raccogliendo dati tramite le macchine infette e quindi non avrebbe ancora distribuito il malware sui computer delle vittime. Comunque sia, considerando che, come già anticipato, le versione infetta è la 5.33.6162, sarebbe consigliabile che tutti gli utenti si apprestino a scaricare il prima possibile l'ultima versione, (ovvero la 5.34.6207); mentre gli utenti CCleaner Cloud hanno già ricevuto un aggiornamento automatico. Per di più, anche se Piriform ha comunicato che il pericolo è cessato, chi ha installato la vecchia release di CCleaner dovrebbe ripristinare lo stato del computer ad una data precedente oppure, (nel caso in cui ciò non fosse possibile), potrebbe provare, infine, a fare una scansione utilizzando tool come Immunet per una maggiore sicurezza.

*(Aggiornamento del 22/09/2017): A quanto pare gli autori del malware hanno sfruttato la sua popolarità per colpire bersagli specifici ed anche se i nomi delle aziende che sono stati coinvolti nell'attacco non sono stati divulgati, dall'analisi dei file è emerso chiaramente che CCleaner è stato utilizzato come strumento per lo spionaggio industriale. Difatti i ricercatori di Cisco Talos hanno analizzato i file trovati sul server sequestrato ed hanno scoperto che i bersagli dell'attacco erano diverse aziende tech, tra cui Microsoft, Samsung, Google, Intel e la stessa Cisco. Insomma, l'obiettivo era accedere ai computer e rubare proprietà intellettuali. Comunque sia anche se alcune parti del codice sono simili a quelle usate in passato da un gruppo di cracker associati ai servizi di intelligence cinese, ciò non permette di attribuire con assoluta certezza la paternità dell'attacco.

Commenti