Il malware nascosto nell’installer a 32 bit di CCleaner 5.33.6162 è più sofisticato del previsto. I ricercatori di Cisco Talos hanno analizzato i file trovati sul server sequestrato, scoprendo che i bersagli dell’attacco erano diverse aziende tech, tra cui Microsoft, Samsung, Google, Intel e la stessa Cisco.
Il malware che qualcuno ha inserito nel noto tool di pulizia, utilizzando certificati validi emessi da Symantec, è di tipo multi-stage. Dopo aver raccolto le informazioni sui computer, tra cui versione del sistema operativo, hostname, nome di dominio, indirizzo IP, elenco delle applicazioni installate e processi in esecuzione, il malware invia questi dati al server remoto, dove sono memorizzati in un database MySQL. Cisco Talos ha trovato un elenco di oltre 700.000 computer, molti dei quali appartenenti a note aziende tecnologiche. Il secondo payload è stata installato su 20 computer di 8 aziende tra il 12 e il 16 settembre 2017.
Nonostante CCleaner sia un software consumer, gli autori del malware hanno sfruttato la sua popolarità per colpire bersagli specifici. I nomi delle aziende che hanno subito l’attacco non sono stati divulgati, ma dall’analisi dei file emerge chiaramente che CCleaner è stato utilizzato come strumento per lo spionaggio industriale. L’obiettivo era quindi accedere ai computer e rubare proprietà intellettuali. Alcune parti del codice sono simili a quelle usate in passato da un gruppo di cracker associati ai servizi di intelligence cinese, ma ciò non permette di attribuire con certezza la paternità dell’attacco.
Dato che il malware non viene rimosso con la cancellazione della versione 5.33.6162 di CCleaner o con l’aggiornamento ad una nuova versione, Cisco Talos consiglia di ripristinare un vecchio backup o installare da zero il sistema operativo. Avast ha intanto rilasciato CCleaner 5.35.6210 e revocato tutti i certificati digitali precedenti.