Gli hacker hanno compromesso il software CCleaner installando una backdoor nascosta

CCleaner conteneva una backdoor malevola che rubava segretamente informazioni dai computer degli utenti

I ricercatori della società di sicurezza, Cisco Talos, hanno riportato che CCleaner, uno strumento di ottimizzazione del sistema distribuito dalla società antivirus Avast, è stato hackerato per distribuire malware direttamente ai suoi utenti attraverso una backdoor nascosta. Il malware consente agli hacker di potenzialmente accedere al computer dell’utente e ad altri sistemi connessi, per rubare dati personali o credenziali.

CCleaner è un programma utilitario popolare utilizzato per pulire file potenzialmente indesiderati (inclusi file temporanei di internet, dove tendono a risiedere programmi e codici malevoli) e voci non valide del Registro di Windows da un computer. CCleaner è stato sviluppato da Piriform ed è stato recentemente acquisito dal produttore di antivirus con sede a Praga, Avast, a luglio. CCleaner ha più di 2 miliardi di download in tutto il mondo ed è scaricato fino a 5 milioni di volte a settimana.

Secondo i ricercatori di Cisco Talos, la versione a 32 bit della v5.33.6162 di CCleaner e la v1.07.3191 di CCleaner Cloud contenevano un payload malware a più fasi che si è installato durante il periodo tra il 15 agosto e il 12 settembre.

“Abbiamo confermato che questa versione malevola di CCleaner era ospitata direttamente sul server di download di CCleaner fino al 11 settembre 2017,” hanno scritto i ricercatori.

Confermandolo, Paul Yung di Piriform ha dichiarato in una nota: “Ci scusiamo per un incidente di sicurezza che abbiamo recentemente trovato nella versione 5.33.6162 di CCleaner e nella versione 1.07.3191 di CCleaner Cloud. Un’attività sospetta è stata identificata il 12 settembre 2017, dove abbiamo visto un indirizzo IP sconosciuto ricevere dati dal software trovato nella versione 5.33.6162 di CCleaner e nella versione 1.07.3191 di CCleaner Cloud, su sistemi Windows a 32 bit. Sulla base di ulteriori analisi, abbiamo scoperto che la versione 5.33.6162 di CCleaner e la versione 1.07.3191 di CCleaner Cloud erano state modificate illegalmente prima di essere rilasciate al pubblico.”

Tuttavia, le versioni Mac e Android di CCleaner non sembrano essere state colpite.

Mentre Piriform ha stimato che 2,27 milioni di persone utilizzassero il software infetto, 5.000 installazioni di CCleaner Cloud avevano ricevuto l’aggiornamento malevolo a quel software.

“Abbiamo risolto questo problema rapidamente e riteniamo che non sia stato arrecato alcun danno ai nostri utenti,” ha dichiarato l’azienda in una nota.

L’azienda ha anche aggiunto che il server rogue è inattivo e altri potenziali server sono fuori dal controllo dell’attaccante.

“Gli attacchi alla catena di fornitura sono un modo molto efficace per distribuire software malevolo nelle organizzazioni target,” ha spiegato il gruppo di intelligence sulle minacce di Cisco, Talos, in un blog sull’hack.

“Questo perché con gli attacchi alla catena di fornitura, gli attaccanti si basano sulla relazione di fiducia tra un produttore o fornitore e un cliente. Questa relazione di fiducia viene quindi abusata per attaccare organizzazioni e individui e può essere eseguita per una serie di motivi diversi.”

Il blog di Talos osserva che la natura del codice di attacco suggerisce che l’hacking potrebbe essere stato un lavoro interno, poiché l’hacker ha ottenuto accesso a una macchina utilizzata per creare CCleaner.

“A questo punto, non vogliamo speculare su come il codice non autorizzato sia apparso nel software CCleaner, da dove sia originato l’attacco, quanto tempo sia stato preparato e chi ci sia dietro. L’indagine è ancora in corso,” ha detto Yung di Piriform.

Piriform ha consigliato agli utenti che hanno installato CCleaner v5.33.6162 o CCleaner Cloud v1.07.3191 sul loro sistema di eliminarli e aggiornare il loro software CCleaner alla versione 5.34 o superiore. L’ultima versione può essere scaricata qui.

Leggi anche - Miglior pulitore di registro per PC Windows 10

“Stiamo continuando a indagare su come sia avvenuta questa compromissione, chi l’ha fatta e perché,” ha dichiarato Piriform. “Ci scusiamo e stiamo adottando misure extra per garantire che ciò non accada di nuovo. Stiamo collaborando con le forze dell’ordine statunitensi nella loro indagine.