Tutto ciò che devi sapere sull’attacco malware CCleaner

È emersa la notizia che una versione infetta del popolare software di ottimizzazione per PC e Android CCleaner ha diffuso malware a un gran numero di utenti di computer. La rivelazione ha colpito per la prima volta il lunedì mattina, quando lo sviluppatore del software Piriform ha pubblicato un post sul blog sull'argomento. La buona notizia è che erano interessate solo le persone che eseguivano CCleaner su sistemi Windows a 32 bit.

Dall'inizio della storia, la società di sicurezza informatica Avast ha annunciato che fino a 2,27 milioni di utenti CCleaner potrebbero essere stati colpiti dal malware nascosto nelle versioni ufficiali del famoso software di ottimizzazione delle prestazioni del PC. Da allora, la ricerca di Cisco ha rivelato che il numero reale di infezioni è inferiore, a circa 700.000 PC.

Secondo il post del blog di Piriform, copie infette di CCleaner sono state divulgate tra il 15 agosto e il 12 settembre. Piriform afferma che le versioni del suo software compromesse sono CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191.

Piriform sollecita tutti gli utenti di CCleaner a scaricare la versione 5.34 o successiva il più presto possibile. Vale la pena notare che gli utenti di CCleaner Cloud avranno ricevuto l'aggiornamento automaticamente. Tuttavia, altri utenti di CCleaner potrebbero continuare a eseguire la versione compromessa, quindi l'aggiornamento manuale è estremamente importante per quei consumatori.

Non è ancora noto come gli hacker siano riusciti a nascondere il codice malevolo nella versione ufficiale di CCleaner. Dal post del blog di Piriform:

"Abbiamo scoperto che la versione 5.33.6162 di CCleaner e la versione 1.07.3191 di CCleaner Cloud sono state modificate illegalmente prima di essere rilasciate al pubblico e abbiamo avviato un processo di indagine. Abbiamo anche contattato immediatamente le forze dell'ordine e lavorato con loro per risolvere il problema ".

"Non sensibile" Dati rubati

Finora Piriform è stata in grado di accertare che il malware stava comunicando con un server Command and Control (CnC) situato negli Stati Uniti. Sembra che gli hacker abbiano utilizzato il malware per raccogliere ciò che l'impresa descrive come dati "non sensibili".

Tali dati includono il nome del computer dell'utente, l'indirizzo IP, un elenco completo di software installato sulla propria macchina, un elenco di software attivo e un elenco di adattatori di rete. Piriform ha informato gli utenti che:

“Non abbiamo indicazioni che altri dati siano stati inviati al server.

"Lavorando con le forze dell'ordine statunitensi, abbiamo causato la chiusura di questo server il 15 settembre prima che venisse fatto qualsiasi danno noto. Sarebbe stato un impedimento alle indagini delle forze dell'ordine essere resi pubblici con questo prima che il server fosse disabilitato e avessimo completato la nostra valutazione iniziale "

avast

Coinvolgimento di Avast

È interessante notare che il colosso della sicurezza Avast (che fornisce prodotti di sicurezza per gli utenti di computer in tutto il mondo) solo recentemente ha acquisito Piriform, sviluppatore di CCleaner. Quell'acquisizione è stata completata solo due mesi fa, a luglio 2017. Per questo motivo, i tempi dell'attacco sono un po 'un grattacapo, per non dire altro. Il fatto che il malware sia arrivato a una versione ufficiale di CCleaner prima che fosse rilasciato al pubblico potrebbe significare che l'hacker stava lavorando dall'interno. Solo il tempo lo dirà.

Un portavoce per conto di Avast ha formulato i seguenti commenti:

"Riteniamo che questi utenti siano al sicuro ora poiché le nostre indagini indicano che siamo stati in grado di disarmare la minaccia prima che fosse in grado di fare del male.

"Stimiamo che 2,27 milioni di utenti abbiano installato il software interessato su macchine Windows a 32 bit."

Alcune buone notizie

Nonostante una grande stima iniziale delle infezioni, sembrerebbe che Piriform sia stato abbastanza fortunato. Al momento dell'acquisizione di Avast, è stato affermato che CCleaner ha ben 130 milioni di utenti attivi, di cui 15 milioni su Android. A causa del fatto che l'infezione era limitata solo alle versioni di CCleaner in esecuzione su PC Windows a 32 bit, sembra che un numero relativamente piccolo di utenti CCleaner fosse interessato (solo 700.000 macchine, secondo Cisco).

Obiettivi aziendali

Obiettivi aziendali

Nonostante abbia preso di mira solo un numero limitato di utenti di CCleaner, sono ora emerse prove del fatto che gli hacker stavano tentando in modo molto specifico di infettare gli obiettivi aziendali. Questa rivelazione è stata scoperta dagli esperti di sicurezza che hanno analizzato il server CnC utilizzato dall'hacker.

I ricercatori della divisione di sicurezza Talos di Cisco affermano di aver trovato prove del fatto che 20 grandi aziende sono state specificamente colpite per l'infezione. Tra queste aziende ci sono Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link e Cisco stessa. Secondo Cisco, in circa la metà di questi casi, gli hacker sono riusciti a infettare almeno una macchina. Questo ha funzionato come backdoor per il loro server CnC per fornire un payload più sofisticato. Cisco ritiene che l'exploit fosse destinato a essere utilizzato per lo spionaggio aziendale.

È interessante notare che, secondo Cisco e Kaspersky, il codice malware contenuto in CCleaner condivide del codice con exploit utilizzati dagli hacker del governo cinese noti come Group 72 o Axiom. È troppo presto per dirlo, ma ciò può significare che l'attacco informatico era un'operazione sponsorizzata dallo stato.

Responsabile della ricerca presso Talos, Craig Williams, commenta,

"Quando l'abbiamo trovato inizialmente, sapevamo che aveva infettato molte aziende. Ora sappiamo che questo è stato utilizzato come dragnet per colpire queste 20 aziende in tutto il mondo ... per ottenere punti d'appoggio in aziende che hanno cose preziose da rubare, tra cui Cisco, sfortunatamente."

Cisco

Catturato presto

Per fortuna Piriform è stata in grado di individuare l'attacco abbastanza presto per impedire che peggiorasse molto. Il vicepresidente di Piriform, Paul Yung, commenta,

"In questa fase, non vogliamo speculare su come sia apparso il codice non autorizzato nel software CCleaner, da dove ha avuto origine l'attacco, da quanto tempo è stato preparato e chi è rimasto dietro di esso."

Tuttavia, Cisco ha rapidamente sottolineato che per le aziende targetizzate (a cui hanno già contattato), l'aggiornamento di CCleaner potrebbe non essere sufficiente, poiché il payload secondario potrebbe essere nascosto all'interno dei loro sistemi. Potrebbe comunicare con un server CnC separato a quello finora scoperto. Ciò significa che è possibile che ancora più exploit siano stati consegnati su tali macchine dagli hacker.

Per questo motivo, Cisco sta raccomandando di ripristinare tutte le macchine potenzialmente infette prima che la versione contaminata del software Piriform fosse installata su di esse.

Cclener Trojan

TR / RedCap.zioqa

Secondo un utente di CCleaner, chiamato Sky87, hanno aperto CCleaner martedì per verificare quale versione avevano. A quel punto, il binario a 32 bit è stato immediatamente messo in quarantena con un messaggio che identificava il malware come TR / RedCap.zioqa. TR / RedCap.zioqa è un trojan che è già ben noto agli esperti di sicurezza. Avira si riferisce ad esso come,

"Un cavallo di Troia che è in grado di spiare i dati, violare la tua privacy o eseguire modifiche indesiderate al sistema."

Cosa fare

Se sei preoccupato per la tua versione di CCleaner, controlla il tuo sistema per una chiave di registro di Windows. Per fare ciò, vai a: HKEY_LOCAL_MACHINE >SOFTWARE >Piriform >Agomo. Se la cartella Agomo è presente, ci saranno due valori, chiamati MUID e TCID. Questo indica che la tua macchina è davvero infetta.

Vale la pena notare che l'aggiornamento del sistema a CCleaner versione 5.34 non rimuove la chiave Agomo dal registro di Windows. Sostituisce solo i file eseguibili dannosi con quelli legittimi, in modo che il malware non rappresenti più una minaccia. Come tale, se hai già aggiornato all'ultima versione di CCleaner e vedi la chiave Agomo, questo non è qualcosa di cui preoccuparti.

Per chiunque tema che il proprio sistema possa essere infettato da una versione del trojan TR / RedCap.zioqa, il miglior consiglio è quello di utilizzare lo strumento gratuito di rilevamento e rimozione di malware SpyHunter. In alternativa, qui è disponibile una guida dettagliata per la rimozione del trojan.

Le opinioni sono proprie dello scrittore.

Credito immagine titolo: Screenshot del logo CCleaner.

Crediti immagine: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me