9119 Letture
CCleaner vittima di un attacco: l'installazione caricava un malware

CCleaner vittima di un attacco: l'installazione caricava un malware

Il file d'installazione di CCleaner 5.33 distribuito nei giorni scorsi attraverso il sito ufficiale conteneva un malware, nonostante l'eseguibile fosse addirittura firmato con il certificato digitale di Piriform, azienda recentemente acquisita da Avast.

A distanza di due mesi esatti dall'acquisizione di CCleaner da parte di Avast (Avast acquisisce Piriform insieme con CCleaner, Recuva e Speccy), gli esperti del Talos Group hanno scoperto che CCleaner 5.33 conteneva codice malevolo. In particolare, un gruppo di criminali informatici è riuscito a modificare la routine di installazione di CCleaner 5.33 inserendovi il malware e, soprattutto, a distribuire il file alterato dal sito ufficiale del software.

CCleaner vittima di un attacco: l'installazione caricava un malware

Secondo Avast, CCleaner - popolarissima utilità per la pulizia e la manutenzione del sistema - sarebbe stato scaricato oltre 5 miliardi di volte. Ogni settimana, poi, il programma "guadagnerebbe" 5 milioni di nuovi utenti.
CCleaner è quindi diventato un obiettivo di primaria importanza per i malware writer.


Il comportamento sospetto della procedura d'installazione è stato scoperto nei giorni scorsi da Cisco Talos e, ancora più incredibilmente, il file dal contenuto malevolo era firmato con la firma digitale legittima e regolare di Piriform.
Non è dato sapere quando l'attacco sia materialmente avvenuto ma a rischio potrebbero essere gli utenti che hanno scaricato CCleaner tra il 15 agosto e il 12 settembre.
Il fatto che il certificato digitale di Piriform sia stato usato per firmare l'eseguibile malevolo fa ritenere che l'aggressione sia stata davvero molto ampia.

Per approfondire, è possibile fare riferimento all'analisi tecnica di Cisco Talos.

La maggior parte dei software antivirus e antimalware dovrebbero adesso riconoscere il malware diffuso mediante il file d'installazione di CCleaner.
In ogni caso, suggeriamo di impartire il seguendo comando al prompt di Windows aperto con i diritti di amministratore:


reg query HKLM\SOFTWARE\Piriform\Agomo

Se si ottenesse risposta, invece del messaggio "Errore: Impossibile trovare la chiave del Registro di sistema o il valore specificato" (condizione normale), si sarà certi di aver purtroppo subìto l'infezione.

Aggiornamento: per conoscere le ultime novità sull'attacco a CCleaner e ai suoi utenti, suggeriamo di consultare l'articolo CCleaner con malware: l'attacco è più ampio e sofisticato. Le novità.

CCleaner vittima di un attacco: l'installazione caricava un malware - IlSoftware.it