Aggiornamenti recenti Febbraio 10th, 2025 9:00 AM
Set 19, 2017 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 1
Non è la prima volta che un software viene utilizzato come vettore di infezione per un malware. Il caso di CCleaner, però, ha del clamoroso. Il programma per la manutenzione del PC vanta infatti 2 miliardi di download e l’impatto dell’attacco, di conseguenza, rischia di essere enorme.
A scoprire il fattaccio sono stati i ricercatori del gruppo Talos di Cisco, che lo scorso 13 settembre hanno individuato il problema e immediatamente avvisato il produttore Piriform del problema, che ha prontamente sostituito l’installer e pubblicato un avviso per i suoi utenti.
Secondo quanto ricostruito in un corposo report, il trojan sarebbe stato inserito nel file di installazione della versione 5.33.6162 (ma anche nella versione cloud 1.07.3191) creato il 15 agosto 2017. Le versioni infette, quindi, sono rimaste disponibili per i download per un intero mese.
Il malware, battezzato con il nome di Flofix, adotta una serie di tecniche per aggirare i controlli antivirus e il suo rilevamento da parte delle società di sicurezza. Tra queste, una sospensione della sua attività per 601 secondi che, nelle intenzioni dell’autore del trojan, dovrebbe evitare che i sistemi di analisi comportamentale ne rilevino l’attività.
Il trojan, inoltre, verifica quali privilegi abbia l’utente attuale e, nel caso in cui non sia amministratore del sistema, termina la sua attività.
L’azione di Flofix si sviluppa in due fasi: la prima prevede il collegamento con i server Command and Control (C&C) e l’invio di informazioni relative al computer infetto.
Più di 2 miliardi di download complessivi e si stima che nel mese in questione CCleaner sia stato scaricato oltre 2 milioni di volte.
La seconda fase prevede il download di ulteriore codice dal server C&C, cioè il vero e proprio payload. Secondo i ricercatori, però, i pirati informatici non hanno ancora attivato la distribuzione del payload.
La buona notizia per gli oltre 2 milioni di utenti che hanno scaricato l’installer infetto è che per rimuovere la backdoor sarebbe sufficiente installare la nuova versione di CCleaner, disponibile sul sito ufficiale di Piriform.
Ma come è stato possibile che il malware sia finito dentro CCleaner? Stando a quanto riportano i ricercatori di Talos, il trojan utilizza un certificato digitale valido (a firma Symantec) che avrebbe permesso di aggirare i controlli di Windows.
Questo significa che i pirati informatici non si sono limitati a compromettere il file sui server di Piriform, ma molto probabilmente sono riusciti a introdursi nei sistemi e sottrarre il certificato utilizzato poi per avviare l’installazione di Flofix.
Un rischio confermato anche da G Data, che nella giornata di oggi ha diffuso alcune note sulla vicenda. “Il fatto che la versione infetta sia stata firmata con un certificato valido può essere un indicatore di diversi problemi di sicurezza, a partire da una vulnerabilità nel processo di firma del produttore fino a una possibile compromissione dell’organizzazione che ha rilasciato il certificato”.
Come fanno notare i ricercatori della società di sicurezza tedesca, però, non si tratta di una novità. Anche nel caso di Petya (o Not Petya) i pirati informatici hanno usato una tecnica simile, sfruttando un certificato digitale valido.
Feb 10, 2025 0
Feb 03, 2025 0
Gen 27, 2025 0
Gen 20, 2025 0
Feb 07, 2025 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 10, 2025 0
Questa settimana il CERT-AGID ha identificato e analizzato...Feb 07, 2025 0
Un bug critico e noto di Outlook è stato sfruttato...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...
One thought on “L’ultima versione di CCleaner conteneva un trojan”