Il noto software di pulizia e gestione del registro, CCleaner, è stato manomesso per raccogliere informazioni e mediare un attacco su larga scala.
La notizia è stata diffusa da diversi siti mirati alla Security e confermata anche dalla Piriform, casa produttrice del software, in un comunicato sul proprio Blog.
CCleaner e l’Infezione
Il software è stato prodotto dalla ditta Piriform, acquisita da Avast nel luglio di quest’anno. A quasi un mese dall’acquisizione da parte di Avast, CCleaner, riceve l’aggiornamento 5.33; contenente delle stringhe per la diffusione del Malware Floxif.
Secondo i dati condivisi da MorphiSec, Cisco Talos e Piriform, Floxif fa parte di una specifica categoria di Malware atti a recuperare informazioni dai sistemi infettati. Le informazioni raccolte vengono reindirizzate e mandate al proprio server C&C, ma la raccolta delle informazioni è solo una parte del lavoro di Floxit. Il software malevolo è anche capace di scaricare ed utilizzare in background una serie di stringhe binarie, mediando l’attacco di altri Malware.
L’infezione, stando alle attuali informazioni, è stata limitata solamente ai sistemi operativi con versione 32-bit. È stata inoltre evidenziata la mancanza di esecuzione del Malware su OS a 32-bit, dove l’user al momento attivo non era di tipo “Amministratore”.
Scoperta e Protezione
Durante la prova di un nuovo metodo di ricerca di Exploit e stringhe contaminate, Cisco Talos, ha trovato l’infezione della versione 5.33 di CCleaner. Successive analisi da parte di MorphiSec hanno notato una serie di logs e richiami a domini sospetti. L’infezione del software dev’essere avvenuta nel processo di distribuzione del Software sponsorizzato da Avast; accuratamente manomesso con dei certificati digitali per validare la versione 5.33 contente Floxif.
L’infezione ha colpito più di 2.27 milioni di computer, ma dovrebbe essere stata scoperta in tempo, evitando una situazione potenzialmente critica.
Se avete installato CCleaner o aggiornato alla versione 5.33, è necessario aggiornarlo alla nuova versione stabile per eliminare la stringa compromessa. Per verificare la piena sicurezza del vostro sistema, dopo l’aggiornamento alla versione sicura, è consigliabile effettuare una scansione con i vostri software di sicurezza.
Conclusioni
Non è stato rivelato se l’attacco è stato compiuto dall’esterno contro l’Avast, per lanciare un messaggio su quest’acquisizione, o se provenga dall’interno della ditta stessa. Dalla scoperta della versione compromessa a ora sono state attuate tutte le misure di sicurezza per evitare una maggiore diffusione. Secondo alcune fonti, lo scopo del software malevolo era quello di sfruttare i Computer per mediare un attacco DDOS su larga scala, ma non possiamo dirlo con certezza assoluta.
Cosa ne pensate? Fatecelo sapere nei commenti.