CCleaner trovato a iniettare malware che ruba dati degli utenti

CCleaner è senza dubbio uno degli strumenti più popolari quando si tratta di liberarsi dei file temporanei e degli altri file spazzatura che si accumulano sul tuo PC e smartphone. CCleaner è utilizzato da milioni di utenti di internet (compreso me stesso) per rimuovere i cookie e effettuare una pulizia. Tuttavia, oltre all’interfaccia pulita e alle potenti funzionalità, CCleaner ha apparentemente anche un lato oscuro.

La maggior parte di noi utilizza CCleaner periodicamente poiché migliora le prestazioni del PC, tuttavia, in un recente sviluppo, CCleaner è accusato di iniettare malware nei sistemi. Lo strumento faceva parte di un “incidente di sicurezza” in cui gli utenti sono stati aggiornati con una versione del software firmata digitalmente che ha aperto una backdoor malevola.

Le notifiche di sicurezza hanno ulteriormente informato che sia CCleaner v5.33.6162 che CCleaner Cloud v1.07.3191 erano compromessi. Una volta scaricato, il malware attendeva cinque minuti prima di controllare se l’utente avesse privilegi di amministratore. Nel passo successivo, il malware rubava informazioni dal computer, inclusa la lista dei software installati, gli aggiornamenti di Windows, gli indirizzi MAC degli adattatori di rete e altre identità uniche della macchina correlate. Tutti questi dati venivano poi inviati a un server situato negli Stati Uniti.

Il problema è stato scoperto per la prima volta dai ricercatori di Cisco Talos e l’installer per CCleaner v5.3 era il colpevole. Tuttavia, a differenza della maggior parte degli altri compromessi degli installer, questo era dotato di un certificato digitale valido firmato da Piriform. Questo è qualcosa che punta involontariamente il dito verso un gioco scorretto a livello organizzativo o forse individuale.

La presenza di una firma digitale valida sul binario malevolo di CCleaner può essere indicativa di un problema più grande che ha portato a compromessi in alcune parti del processo di sviluppo o di firma. Idealmente, questo certificato dovrebbe essere revocato e considerato non attendibile in futuro. Quando si genera un nuovo certificato, è necessario prestare attenzione per garantire che gli attaccanti non abbiano alcun accesso all’ambiente con cui compromettere il nuovo certificato. Solo il processo di risposta all’incidente può fornire dettagli riguardo all’ambito di questo problema e come affrontarlo al meglio. Cisco Talos

È molto probabile che un attaccante esterno sia riuscito a compromettere l’ambiente di build e che lo stesso sia arrivato in produzione. Non c’è bisogno di dire che l’attaccante potrebbe utilizzare questa backdoor per infettare milioni di computer con il malware. Questo punta anche il dito verso qualcuno all’interno che aveva accesso allo sviluppo o all’organizzazione di build. Piriform ha rimosso le versioni compromesse dal server di download.

Detto ciò, se stai eseguendo CCleaner 5.33, è consigliabile aggiornare alla 5.34 al più presto e gli utenti della versione gratuita di CCleaner devono eseguire un aggiornamento manuale poiché la build non offre aggiornamenti automatici. E anche scansionare il sistema con un software anti-malware.