CCleaner è un software per “pulire” i dispositivi che è stato compromesso dagli hacker: sono riusciti a inserire un malware all’interno del codice della app utilizzata da milioni di utenti. CCleaner è lo strumento di ottimizzazione e pulizia dei PC più popolare al mondo. Si tratta di una soluzione ritenuta affidabile e uno strumento utile per migliorare le prestazioni di PC e smartphone rimuovendo i file non necessari.
I ricercatori di Cisco Talos hanno scoperto che i server di download utilizzati da Avast (la compagnia che possiede CCleaner) sono stati compromessi al fine di distribuire il malware.
“Per un periodo di tempo, la versione ufficiale di CCleaner 5.33 distribuita da Avast ha contenuto il payload di un malware multi-stadio aggiunto al processo di installazione” ha spiegato il team di Talos dando l’allarme.
L’attacco è stato strutturato in modo sofisticato. Prima la violazione dei sistemi di Piriform che ha consentito l’introduzione del malware e la distribuzione di massa della backdoor in CCleaner nella versione distribuita tra agosto e settembre 2017. Poi la backdoor è stata attivata e le centinaia di migliaia di copie di CCleaner hanno contattato un server centrale per scaricare il vero e proprio malware, in una classica strategia di Command&Control. In un primo momento non è stata rilevata alcuna traccia di questo codice maligno.
CCleaner: un malware per spiare i grandi della tecnologia
Talos sostiene che ogni settimana circa 5 milioni di utenti scaricavano il software. Inizialmente l’idea di tutti, probabilmente anche dei ricercatori Cisco che hanno scoperto la backdoor, era quella di trovarsi di fronte a un attacco hacker rivolto a tutti, a un colpo “sparato-nel-mucchio”, ma qui arriva la sorpresa. Nel mirino degli hacker erano “solo” i giganti della tecnologia: Microsoft, D-Link, Cisco, Samsung, Sony, VMware, Intel e altre note aziende del settore. Lo ha rivelato la stessa Cisco che, dopo aver scoperto il malware, ha fatto ulteriori approfondimenti.
Il malware si attivava solo quando riconosceva di essere all’interno di una rete con uno specifico dominio, tra quelli elencati.
Malware in CCleaner: contagiati 700mila dispositivi
L’attacco avrebbe contagiato 700.000 dispositivi in tutto il mondo e se, in una prima fase, si pensava che in realtà non avesse fatto danni o sottratto informazioni, si è venuto a sapere che il malware si è attivato su almeno 20 pc delle società elencate, andando a raccogliere informazioni e dati sensibili. Si è trattato quindi di un attacco su commissione, forse volto a colpire direttamente le aziende di tecnologie oppure per recuperare alte informazioni digitali, bug o debolezze per ulteriori successivi attacchi.
Questo cambia completamente la valutazione dell’episodio: si tratta di un attacco mirato in piena regola. C’è qualcuno che ha pagato gli hacker per carpire le informazioni ai grandi del mondo hi-tech. Si è scelto di utilizzare come veicolo CCleaner perché diffuso tra gli appassionati di tecnologia, quindi era probabile che molti dipendenti di quelle aziende lo avessero installato.
