I ricercatori di Cisco Talos hanno scoperto che qualcuno è riuscito a modificare l’installer del popolare software CCleaner per distribuire malware a milioni di computer in tutto il mondo. Fortunatamente Avast è già intervenuta per bloccare la diffusione della minaccia, rimuovendo la versione 5.33 del tool rilasciata il 15 agosto. La software house di Praga, che ha acquisito a luglio Piriform, non ha tuttavia spiegato come i cybercriminali hanno avuto accesso ai server.
CCleaner è probabilmente il software di pulizia più usato in assoluto, in quanto permette di effettuare la manutenzione periodica del computer e l’ottimizzazione delle prestazioni, eliminando file superflui con estrema facilità. Secondo i dati forniti da Piriform, il tool è stato scaricato oltre due miliardi di volte, quindi il rischio di una diffusione del malware su larga scala è piuttosto elevato. Gli esperti di Cisco Talos hanno individuato codice infetto nell’installer a 32 bit della versione 5.33 pubblicata sul sito ufficiale dal 15 agosto all’11 settembre 2017.
I malintenzionati hanno inserito un malware multi-stage e firmato il software con un certificato valido, rilasciato da Symantec. In qualche modo il processo di sviluppo di CCleaner è stato compromesso. È probabile che i cybercriminali abbiamo avuto accesso ai sistemi di Piriform tramite un account dell’azienda oppure siano stati aiutati da un insider. Il codice inserito nell’installer è piuttosto complesso ed esegue una serie di operazioni per evitare di essere rilevato dai sistemi di analisi automatica. Dopo aver verificato che l’utente possiede i privilegi dell’amministratore, il malware raccoglie i dati del sistema e li invia ad un server remoto.
La versione infetta è CCleaner 5.33.6162. Gli utenti devono quindi scaricare l’ultima versione 5.34.6207 rilasciata il 12 settembre. Piriform ha comunicato che il pericolo è cessato. Chi ha installato la vecchia release del tool dovrebbe però ripristinare lo stato del computer o il backup ad una data precedente per una maggiore sicurezza.