Alfonso Maruccia

CCleaner, da utility a dispensa malware

Il celebre software di ottimizzazione del sistema Ŕ stato compromesso da ignoti, che l'hanno sfruttato per distribuire malware a migliaia di utenti ignari del fatto. La colpa non Ŕ degli sviluppatori di Piriform, ma presumibilmente di un insider di Avast, con la complicitÓ dei certificati Symantec

Roma - Con i suoi miliardi di download in giro per il mondo, collezionati nel corso del tempo, CCleaner rappresenta un bersaglio privilegiato per i cyber-criminali interessati a sfruttarne la popolarità a scopo malevolo. Un caso che questa estate è passato dalla pura ipotesi ad una triste realtà per migliaia di utenti, costretti loro malgrado a sorbirsi l'installazione di un malware assieme ad una release infetta dell'utility di Piriform.

Il fattaccio è stato scoperto dai ricercatori di sicurezza di Cisco Talos, che alcuni giorni or sono hanno avviato il beta testing di un nuovo sistema di identificazione degli exploit accorgendosi di un comportamento malevolo a opera di CCleaner v5.33. Durante l'installazione su sistemi operativi a 32-bit, la suddetta versione del software depositava sul sistema un payload aggiuntivo dalla natura malevola noto come Floxif.

Il malware è programmato per raccogliere informazioni sul sistema infetto e di trasferirle a un centro di comando&controllo remoto, un'operazione capace di compromettere dati particolarmente sensibili come il nome del PC, la lista dei software installati, l'indirizzo MAC delle prime tre interfacce di rete, un identificativo univoco per ogni sistema infetto. In teoria, Floxit è anche in grado di scaricare nuovi binari eseguibili per distribuire ulteriori minacce.

Il malware è stato identificato il 13 settembre, e le verifiche di Talos hanno poi confermato che la versione infetta di CCleaner era stata distribuita dai server ufficiali di Piriform. L'ipotesi è che qualcuno, magari un insider, abbia compromesso la filiera produttiva di Avast - che ha acquisito Piriform lo scorso luglio - e abbia inserito il codice malevolo all'interno del pacchetto di installazione ufficiale. Incidentalmente, il certificato di sicurezza con cui è firmato il software è stato fornito da Symantec - un'azienda che con la crittografia ha una storia recente a dir poco pessima.

Piriform ha riconosciuto l'esistenza del problema individuando il malware in CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191, distribuendo subito versioni pulite di entrambe i software. Resta da capire l'origine dell'infezione e chi abbia compromesso il software.

Alfonso Maruccia

fonte immagine
Notizie collegate
26 Commenti alla Notizia CCleaner, da utility a dispensa malware
Ordina
  • Ho capito di cosa si tratta ma altrove leggo che infetta è la versione 32bit dell'eseguibile non dell'installer, qui leggo che l'installer crea un Payload che poi scarica malware sui sistemi a 32bit. Non mi pare esatto:
    https://www.virustotal.com/it/file/e710744b3cdd16b.../

    Vediamo di fare un pò di luce su questa oscura vicenda... ho sempre usato la versione portable e ho Windows 10 a 64bit quindi dovrei essere immune e invece penso che sia più complesso di così. Secondo me basta eseguire CCleaner.exe e buonanotte!
    non+autenticato
  • Saro complottista, ma un fatto del genere appena la società viene venduta è una coincidenza troppo strana. Dipendente interno che pensa di fare il suo prodotto o mettersi in proprio? Oppure semplicemente scazzato dalla vendita?
    non+autenticato
  • Tonnelate di questi tools per winzzozzari, abbondano sul web tanto si e sicuri che i winari stortari ne avranno bisogno per scandagliare il marciume e le fogne fatte di dll, e chiavi di registri vari.

    Il winzzozzaro altrimenti non sa come fare, largo alle utility che fanno di tutto e di più di quello che dovrebbero fare, l'importante che alla fine si capisca cosa fare, cancellare? Ripristinare? Fixare? Annullare?

    Tanto alla fine l'utente winzzozzaro non ha capito lo stesso un CAZZO cosa fare!
    non+autenticato
  • - Scritto da: sono la morte
    > Tonnelate di questi tools per winzzozzari,
    > abbondano sul web tanto si e sicuri che i winari
    > stortari ne avranno bisogno per scandagliare il
    > marciume e le fogne fatte di dll, e chiavi di
    > registri
    > vari.
    >
    > Il winzzozzaro altrimenti non sa come fare, largo
    > alle utility che fanno di tutto e di più di
    > quello che dovrebbero fare, l'importante che alla
    > fine si capisca cosa fare, cancellare?
    > Ripristinare? Fixare?
    > Annullare?
    >
    > Tanto alla fine l'utente winzzozzaro non ha
    > capito lo stesso un CAZZO cosa
    > fare!

    Da utente Linux posso dirti che con queste trollate hai rotto i coglioni. La gente con Windows ci deve anche lavorare.
    non+autenticato
  • - Scritto da: sono la morte
    > Tonnelate di questi tools per winzzozzari,
    > abbondano sul web tanto si e sicuri che i winari
    > stortari ne avranno bisogno per scandagliare il
    > marciume e le fogne fatte di dll, e chiavi di
    > registri
    > vari.
    >
    > Il winzzozzaro altrimenti non sa come fare, largo
    > alle utility che fanno di tutto e di più di
    > quello che dovrebbero fare, l'importante che alla
    > fine si capisca cosa fare, cancellare?
    > Ripristinare? Fixare?
    > Annullare?
    >
    > Tanto alla fine l'utente winzzozzaro non ha
    > capito lo stesso un CAZZO cosa
    > fare!

    Non pensi sia ora di cercare un buon psichiatra prima di un ulteriore peggioramento ?
    non+autenticato
  • Sei un nadaro, anzi un coglione.
    Detto da uno che usa Linux ( e altri sistemi posix ) da 15 anni abbondanti.
    10/12 anni fa avresti fatto anche ridere, adesso fai pena.
    Fai un piacere al mondo intero, regala il computer e sparisci da internet.
    non+autenticato
  • PS: è riferito a quello che dice winari winzozz etc
    non+autenticato
  • Fuddaro, sparisci. Non hai mai detto niente di interessante, hai solo veramente, ma VERAMENTE rotto i coglioni a tutti.
    non+autenticato
  • Quindi se ho compreso qualcosa riguarda solo la versione che si installa su 32-bit? La portatile ha entrambe 32-bit e 64-bit (che uso io).
    Iniziamo bene direi... (https://blog.avast.com/welcome-piriform-to-avast)
    non+autenticato
  • Sì, a quanto pare il malware si installa solo se Windows è la versione a 32 bit (non dipende dall'installer, che è lo stesso).

    In ogni caso, spero che tu non ti metta a fare l'upgrade. CCleaner è da buttare. Fosse stato compromesso sul server capire, ma un malware firmato distribuito per un mese è abbastanza per far capire che sono COMPLETAMENTE inaffidabili.
    non+autenticato
  • - Scritto da: ...
    > Sì, a quanto pare il malware si installa solo se
    > Windows è la versione a 32 bit (non dipende
    > dall'installer, che è lo
    > stesso).
    >
    > In ogni caso, spero che tu non ti metta a fare
    > l'upgrade. CCleaner è da buttare. Fosse stato
    > compromesso sul server capire, ma un malware
    > firmato distribuito per un mese è abbastanza per
    > far capire che sono COMPLETAMENTE
    > inaffidabili.

    Adesso vedo. Ci sarebbero PrivaZer o System Ninja, ma spiace un po' abbandonarlo che sei sicuro di non far danni rispetto ad altri che non conosco(poi volendo c'è CCEnhancer); a dire il vero aspettavo che integrassero nella shell la distruzione di file ed anche le chiavi di registro in 'personalizzate' come in East-Tec.
    Non era proprio l'integrazione che volevo... e ci sarei cascato anche davanti ad un avviso di permesso durante l'installazione non facendoci caso vista la fonte.
    Vabbè, a quanto leggo mi fotte comunque più info l'antivirus e la sua EULA di m...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)