CCleaner compromesso: controlla meglio il tuo PC
- Categoria: Sicurezza
Piriform, i creatori del popolare pulitore di file CCleaner, ha confermato lunedì 18 settembre 2017 che gli hacker sono riusciti ad attaccare con successo la rete di computer dell'azienda.
Gli hacker hanno compromesso due versioni di CCleaner nell'attacco che sono state utilizzate fino al 3% della base di utenti dell'azienda.
Le versioni interessate sono CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191. Secondo Piriform, solo le versioni a 32 bit delle applicazioni sono state compromesse e distribuite utilizzando l'infrastruttura dell'azienda.
L'azienda chiede agli utenti di aggiornare la loro versione del programma all'ultima versione disponibile se ciò non è già stato fatto. L'ultima versione di CCleaner è la 5.34 al momento della scrittura.
- CCleaner 5.33.6162 è stato rilasciato il 15 agosto 2017 e una versione aggiornata non compromessa è stata rilasciata il 12 settembre 2017.
- CCleaner Cloud 1.07.3191 è stato rilasciato il 24 agosto 2017 e una versione non compromessa del programma il 15 settembre 2017.
Ricercatori di sicurezza del gruppo Talos di Cisco rivelato dettagli sull'attacco riuscito alla catena di approvvigionamento. Talos Group ha informato Avast, la società madre di Piriform, della situazione.
Talos Group ha 'identificato un eseguibile specifico' durante i test del nuovo strumento di rilevamento degli exploit dell'azienda, proveniente dal programma di installazione CCleaner 5.33, che a sua volta è stato fornito dai server di download CCleaner legittimi.
L'eseguibile di download è stato firmato con una firma piriforme valida. Il programma di installazione conteneva un 'payload dannoso che includeva un algoritmo di generazione del dominio' e la funzionalità 'Comando e controllo codificato'.
I ricercatori di Talos hanno concluso che il payload dannoso è stato distribuito tra il rilascio della versione 5.33 il 15 agosto 2017 e il rilascio della versione 5.34 il 12 settembre 2017.
I ricercatori ritengono probabile che 'un utente malintenzionato esterno abbia compromesso una parte' dell'ambiente di sviluppo o build di Piriform e abbia utilizzato l'accesso per inserire il malware nella build di CCleaner. Un'altra opzione che i ricercatori considerano è che un insider abbia incluso il codice dannoso.
Gli utenti di CCleaner che desiderano assicurarsi che la versione compromessa non sia ancora sul proprio sistema potrebbero voler eseguire la scansione VirusTotal , oppure scansionalo con ClamAV, poiché è l'unico software antivirus che rileva la minaccia in questo momento.
Puoi scaricare gratuitamente ClamAV da questo sito.
Il payload dannoso crea la chiave di registro HKLM SOFTWARE Piriform Agomo: e la utilizza per memorizzare varie informazioni.
Piriform rilasciato una dichiarazione del 18 settembre 2017. Secondo tale dichiarazione, dati non sensibili potrebbero essere stati trasmessi a un server negli Stati Uniti d'America.
La compromissione potrebbe causare la trasmissione di dati non sensibili (nome del computer, indirizzo IP, elenco del software installato, elenco del software attivo, elenco degli adattatori di rete) a un server di computer di terze parti negli Stati Uniti. Non abbiamo indicazioni che altri dati siano stati inviati al server.
Paul Yung, vicepresidente dei prodotti dell'azienda, pubblicato anche una valutazione tecnica dell'attacco al blog aziendale.
L'unico suggerimento che Piriform ha è di aggiornare alla versione più recente.
Parole di chiusura
Le versioni compromesse di CCleaner e CCleaner Cloud sono state distribuite per quasi un mese. Con oltre 20 milioni di download al mese e gli aggiornamenti, si tratta di un numero elevato di PC che ne sono stati colpiti.