L’ultima versione di CCleaner conteneva un trojan

Set 19, 2017 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 1

Chi ha scaricato il software tra agosto e settembre può essere stato infettato con una backdoor. Basta l’aggiornamento di CCleaner per rimuoverla.

Non è la prima volta che un software viene utilizzato come vettore di infezione per un malware. Il caso di CCleaner, però, ha del clamoroso. Il programma per la manutenzione del PC vanta infatti 2 miliardi di download e l’impatto dell’attacco, di conseguenza, rischia di essere enorme.

A scoprire il fattaccio sono stati i ricercatori del gruppo Talos di Cisco, che lo scorso 13 settembre hanno individuato il problema e immediatamente avvisato il produttore Piriform del problema, che ha prontamente sostituito l’installer e pubblicato un avviso per i suoi utenti.

Secondo quanto ricostruito in un corposo report, il trojan sarebbe stato inserito nel file di installazione della versione 5.33.6162 (ma anche nella versione cloud 1.07.3191) creato il 15 agosto 2017. Le versioni infette, quindi, sono rimaste disponibili per i download per un intero mese.

Il malware, battezzato con il nome di Flofix, adotta una serie di tecniche per aggirare i controlli antivirus e il suo rilevamento da parte delle società di sicurezza. Tra queste, una sospensione della sua attività per 601 secondi che, nelle intenzioni dell’autore del trojan, dovrebbe evitare che i sistemi di analisi comportamentale ne rilevino l’attività.

Il trojan, inoltre, verifica quali privilegi abbia l’utente attuale e, nel caso in cui non sia amministratore del sistema, termina la sua attività.

L’azione di Flofix si sviluppa in due fasi: la prima prevede il collegamento con i server Command and Control (C&C) e l’invio di informazioni relative al computer infetto.

Più di 2 miliardi di download complessivi e si stima che nel mese in questione CCleaner sia stato scaricato oltre 2 milioni di volte.

La seconda fase prevede il download di ulteriore codice dal server C&C, cioè il vero e proprio payload. Secondo i ricercatori, però, i pirati informatici non hanno ancora attivato la distribuzione del payload.

La buona notizia per gli oltre 2 milioni di utenti che hanno scaricato l’installer infetto è che per rimuovere la backdoor sarebbe sufficiente installare la nuova versione di CCleaner, disponibile sul sito ufficiale di Piriform.

Ma come è stato possibile che il malware sia finito dentro CCleaner? Stando a quanto riportano i ricercatori di Talos, il trojan utilizza un certificato digitale valido (a firma Symantec) che avrebbe permesso di aggirare i controlli di Windows.

Questo significa che i pirati informatici non si sono limitati a compromettere il file sui server di Piriform, ma molto probabilmente sono riusciti a introdursi nei sistemi e sottrarre il certificato utilizzato poi per avviare l’installazione di Flofix.

Un rischio confermato anche da G Data, che nella giornata di oggi ha diffuso alcune note sulla vicenda. “Il fatto che la versione infetta sia stata firmata con un certificato valido può essere un indicatore di diversi problemi di sicurezza, a partire da una vulnerabilità nel processo di firma del produttore fino a una possibile compromissione dell’organizzazione che ha rilasciato il certificato”.

Come fanno notare i ricercatori della società di sicurezza tedesca, però, non si tratta di una novità. Anche nel caso di Petya (o Not Petya) i pirati informatici hanno usato una tecnica simile, sfruttando un certificato digitale valido.

Condividi l'articolo