Effetto CCleaner, quando il malware mina la fiducia alle radici

MalwareSicurezzaSistemi OperativiWorkspace

Una versione CCleaner disponibile per il download fino al 13 di settembre ha infettato milioni di pc. Bastava scaricare il software dal sito legittimo del vendor. I danni di un malware che sfrutta bene la supply chain

I criminali informatici sono riusciti a nascondere un malware all’interno dell’applicazione CCleaner, il software che Avast ha acquisito da Piriform questa estate, e che è conosciuto come software per la pulizia e la manutenzione del computer. CCleaner viene utilizzato per migliorare le prestazioni del PC e degli smartphone tramite la rimozione di file non necessari.

Nello specifico sono state “infettate” le versioni di CCleaner disponibili per il download tra il 15 agosto e il 12 settembre 2017, quindi la versione 5.33 del prodotto o un eventuale aggiornamento effettuato durante questo periodo di tempo devono essere subito verificati/rimossi/aggiornati. Queste versioni non contenevano solo il buon software ma anche un payload malevolo con caratteristiche di Domain Generation Algorithm in grado di generare una funzione Command and Control (C2).

CCleaner Free - Il software di Piriform è stato rilevato da Avast all'inizio dell'estate
CCleaner Free – Il software di Piriform è stato rilevato da Avast all’inizio dell’estate

Il 13 di settembre Cisco Talos ha informato Avast della minaccia e il vendor ha rimosso la versione infettata, ma gli utenti che l’hanno fatta anche solo transitare sul proprio sistema, anche se poi l’hanno aggiornata, restano a rischio. L’infezione abilita l’aggressore all’accesso al computer delle vittime e agli altri sistemi per il furto di dati sensibili, credenziali, e per il monitoring delle attività online.

Lo schema di attacco sfruttando CCleaner
Lo schema di attacco sfruttando CCleaner

In pratica è accaduto quanto già era successo con il malware Nyetya, all’inizio dell’estate. Si utilizza un software più che legittimo per veicolare infezioni. In questo caso si tratta di un vero e proprio attacco alla supply chain distributiva addirittura di un vendor che fa della protezione il proprio core business.

Gli attaccanti hanno da guadagnarci una rapida diffusione del proprio malware, grazie alla notorietà di un software normalmente benefico e addirittura di un vendor che si occupa di sicurezza. Per il vendor è letteralmente un bagno di sangue, tanto più quando viene attaccato proprio sul fianco in cui dovrebbe essere massima la propria expertise. 

Si mina così alla base la fiducia verso il software e verso il vendor, si mina la fiducia basata prima ancora che sulla qualità della proposta, proprio sulla notorietà di un brand. Nel caso di CCleaner, il software ha raggiunto oltre 2 miliardi di download tra novembre del 2015 e l’evento, con un tasso di crescita di oltre 5 milioni di utenti a settimana. Ci sembrano cifre davvero considerevoli, forse anche esagerate, a contare i download dovrebbe essere stato scaricato da circa una persona su tre del pianeta terra.  

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore