L'hacking di CCleaner ha colpito milioni di computer in tutto il mondo
CCleaner di Piriform è un software di ottimizzazione per PC di prim'ordine considerato affidabile da miliardi (non milioni!) Di utenti in tutto il mondo. È uno strumento di manutenzione del sistema completamente legittimo con una reputazione impeccabile. Purtroppo, la società ha recentemente sperimentato qualcosa di molto spiacevole e ciò che è noto pubblicamente come "attacco alla catena di approvvigionamento".
Sembra che gli hacker abbiano compromesso i server dell'azienda per iniettare malware nella versione legittima del PC strumento di ottimizzazione, che ha portato con successo il componente dannoso su oltre 2,27 milioni di computer In tutto il mondo.
Il 18 settembre 2017, Paul Yung, il vicepresidente di Piriform, ha annunciato l'hack in un preoccupante post sul blog. Il VP si è scusato e ha dichiarato che gli hacker sono riusciti a compromettere CCleaner 5.33.6162 e CCleaner Cloud versione 1.07.3191. Sembra che queste versioni siano state modificate illegalmente per impostare backdoor sui computer degli utenti.
L'azienda ha intrapreso azioni per disattivare il server che stava comunicando con la backdoor. Sembra che il malware iniettato nel software di ottimizzazione del PC (noto come Nyetya o Floxif Trojan) possa trasferire il nome del computer, l'elenco dei software installato o aggiornamenti di Windows, processi in esecuzione, indirizzi MAC dei primi tre adattatori di rete e ancora più dati sul computer su un telecomando server.
Il malware raccoglie dati da sistemi compromessi
All'inizio, gli esperti hanno scoperto solo il carico utile della prima fase. Secondo gli analisti, il virus CCleaner 5.33 era in grado di trasmettere diversi tipi di dati al proprio database, inclusi indirizzi IP delle vittime, tempo online, nomi host, nomi di dominio, elenchi di processi attivi, programmi installati e ancora di più. Secondo gli esperti del Talos Intelligence Group, "queste informazioni sarebbero tutto ciò di cui un aggressore avrebbe bisogno per lanciare un payload in una fase successiva".
Tuttavia, un po' più tardi gli analisti di malware hanno rivelato Virus CCleaner' funzionalità per scaricare il payload della seconda fase.
Sembra che il secondo payload si rivolga solo alle aziende tecnologiche giganti. Per rilevare gli obiettivi, il malware utilizza un elenco di domini, come ad esempio:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Ricorda che si tratta di un elenco abbreviato di domini. Dopo aver effettuato l'accesso al database di Command & Control, i ricercatori hanno scoperto almeno 700.000 computer che hanno risposto al server e più di 20 macchine infettate dal malware di seconda fase. Il payload della seconda fase è progettato per consentire agli hacker di ottenere un punto d'appoggio più profondo sui sistemi delle aziende tecnologiche.
Rimuovi il malware CCleaner e proteggi la tua privacy
Secondo Piriform, gli hacker sono riusciti a modificare la versione 5.33 di CCleaner prima che venisse lanciata. La versione 5.33 è stata rilasciata il 15 agosto 2017, il che significa che i criminali hanno iniziato a infettare i sistemi in quel giorno. Secondo quanto riferito, la distribuzione si è interrotta solo il 15 settembre.
Sebbene alcuni esperti raccomandino di aggiornare CCleaner alla versione 5.34, temiamo che potrebbe non essere sufficiente per sradicare la backdoor dal tuo sistema. 2-Gli esperti di spyware consigliano di ripristinare il computer allo stato precedente al 15 agosto e di eseguire un programma anti-malware. Inoltre, per proteggere i tuoi account, ti consigliamo di modificare tutte le tue password utilizzando un dispositivo sicuro (come il telefono o un altro computer).