Aggiornamenti recenti Settembre 19th, 2024 10:23 AM
Set 19, 2017 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 1
Non è la prima volta che un software viene utilizzato come vettore di infezione per un malware. Il caso di CCleaner, però, ha del clamoroso. Il programma per la manutenzione del PC vanta infatti 2 miliardi di download e l’impatto dell’attacco, di conseguenza, rischia di essere enorme.
A scoprire il fattaccio sono stati i ricercatori del gruppo Talos di Cisco, che lo scorso 13 settembre hanno individuato il problema e immediatamente avvisato il produttore Piriform del problema, che ha prontamente sostituito l’installer e pubblicato un avviso per i suoi utenti.
Secondo quanto ricostruito in un corposo report, il trojan sarebbe stato inserito nel file di installazione della versione 5.33.6162 (ma anche nella versione cloud 1.07.3191) creato il 15 agosto 2017. Le versioni infette, quindi, sono rimaste disponibili per i download per un intero mese.
Il malware, battezzato con il nome di Flofix, adotta una serie di tecniche per aggirare i controlli antivirus e il suo rilevamento da parte delle società di sicurezza. Tra queste, una sospensione della sua attività per 601 secondi che, nelle intenzioni dell’autore del trojan, dovrebbe evitare che i sistemi di analisi comportamentale ne rilevino l’attività.
Il trojan, inoltre, verifica quali privilegi abbia l’utente attuale e, nel caso in cui non sia amministratore del sistema, termina la sua attività.
L’azione di Flofix si sviluppa in due fasi: la prima prevede il collegamento con i server Command and Control (C&C) e l’invio di informazioni relative al computer infetto.
La seconda fase prevede il download di ulteriore codice dal server C&C, cioè il vero e proprio payload. Secondo i ricercatori, però, i pirati informatici non hanno ancora attivato la distribuzione del payload.
La buona notizia per gli oltre 2 milioni di utenti che hanno scaricato l’installer infetto è che per rimuovere la backdoor sarebbe sufficiente installare la nuova versione di CCleaner, disponibile sul sito ufficiale di Piriform.
Ma come è stato possibile che il malware sia finito dentro CCleaner? Stando a quanto riportano i ricercatori di Talos, il trojan utilizza un certificato digitale valido (a firma Symantec) che avrebbe permesso di aggirare i controlli di Windows.
Questo significa che i pirati informatici non si sono limitati a compromettere il file sui server di Piriform, ma molto probabilmente sono riusciti a introdursi nei sistemi e sottrarre il certificato utilizzato poi per avviare l’installazione di Flofix.
Un rischio confermato anche da G Data, che nella giornata di oggi ha diffuso alcune note sulla vicenda. “Il fatto che la versione infetta sia stata firmata con un certificato valido può essere un indicatore di diversi problemi di sicurezza, a partire da una vulnerabilità nel processo di firma del produttore fino a una possibile compromissione dell’organizzazione che ha rilasciato il certificato”.
Come fanno notare i ricercatori della società di sicurezza tedesca, però, non si tratta di una novità. Anche nel caso di Petya (o Not Petya) i pirati informatici hanno usato una tecnica simile, sfruttando un certificato digitale valido.
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 02, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 13, 2024 0
Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...
One thought on “L’ultima versione di CCleaner conteneva un trojan”