Una versione infetta di CCleaner è stata distribuita per un mese

Un gruppo di hacker è riuscito a inserire un malware nel pacchetto di installazione di CCleaner, un popolare tool di ottimizzazione di sistema per Windows, con oltre 2 miliardi di download effettuati. Il pacchetto fregatura è stato distribuito tramite i canali ufficiali per quasi un mese.

CCleaner è un programma che, tra le altre cose, serve a cancellare i file della rete temporanei come i cookie, svuotare il cestino, correggere i problemi di Windows Registry. Messo sul mercato per la prima volta nel 2003, è diventato molto popolare; fino a 20 milioni di persone lo scaricano ogni mese.

Gli utenti che hanno scaricato e installato CCleaner o CCleaner Cloud tra il 15 di agosto e il 12 di settembre è bene che controllino la presenza di eventuali malware e aggiornino le loro app. Il problema ha riguardato le versioni a 32-bit di CCleaner v5.33.6162 e CCleaner Cloud v1.07.3191.

La versione compromessa è stata individuata da alcuni ricercatori del gruppo Talos di Cisco Systems, dopo che uno dei prodotti dell'azienda ha rivelato la presenza di un malware su un pacchetto di installazione di CCleaner. Un'indagine successiva ha confermato che non si trattasse di un falso positivo e che il programma eseguibile stesse davvero trasportando con sé un programma di backdoor piuttosto sofisticato.

La cosa peggiore è che non si tratta di un caso in cui gli hacker prendono l'installer di CCleaner, lo modificano e distribuiscono questa versione maligna attraverso altri mezzi. Invece, il programma con il backdoor aggiunto è stato distribuito dai server ufficiali della casa di sviluppo, oltre che da siti di download di terze parti.

L'installer modificato era munito del certificato digitale legittimo della casa di sviluppo, il che significa che il codice maligno è stato aggiunto prima che questa sigla fosse applicata. C'è anche un artefatto dentro l'eseguibile che fa sospettare che fosse compromesso prima della compilazione.

"Data la presenza di questo artefatto di compilazione, oltre al fatto che il codice binario era firmato digitalmente usando un certificato valido emesso dagli sviluppatori del software, è probabile che qualcuno di esterno abbia compromesso una porzione del loro ambiente di sviluppo o costruzione e abbia sfruttato quell'accesso per inserire un malware nella build di CCleaner che era stata rilasciata e ospitata dall'organizzazione," hanno scritto in un blog post i ricercatori di Cisco Talos. "È anche possibile che qualcuno di interno che aveva accesso o agli ambienti di sviluppo o di costruzione abbia inserito intenzionalmente il codice maligno o avesse un account compromesso che ha permesso a qualcun altro di inserire il codice."

CCleaner è stato creato da un'azienda chiamata Piriform che è stata acquistata dalla casa produttrice di antivirus Avast a luglio. L'azienda ha rilasciato una dichiarazione alla stampa e pubblicato un blog post dettagliato in risposta all'incidente.

Stando all'azienda, circa il 3 percento degli utenti CCleaner potrebbero essere stati vittime di questo incidente. CCleaner è scaricato ad un ritmo di 20 milioni di volte al mese.

"A questo punto, non vogliamo speculare su come il codice non autorizzato sia finito dentro al software CCleaner, da dove abbia avuto origine l'attacco, o per quanto tempo è stato preparato e chi l'ha appoggiato," ha detto Paul Yung, vice-presidente del prodotto a Piriform, in un blog post. "Le indagini sono ancora in corso."

Yung ha confermato che un "backdoor a due fasi" è stato aggiunto al codice di inizializzazione dell'applicazione che viene "in genere inserito durante la compilazione dal compilatore."

Il programma di backdoor è in grado di scaricare ed eseguire una parte aggiuntiva di codice maligno e, stando all'analisi fatta da Cisco Talos, usa un DGA (ovvero, un algoritmo che genera nomi di domini) per trovare i suoi server di command-and-control. Conoscendo l'algoritmo, gli hacker possono predire quale nome di dominio il malware cercherà di contattare in una data specifica e possono registrarlo in anticipo così da poter poi inviare comandi.

"Nell'analisi dei dati di telemetria basata su DNS relativi a questo attacco, Talos ha identificato un numero significativo di sistemi che facevano richiesta di DNS cercando di risolvere i domini associati con i sopracitati domini DGA," hanno detto i ricercatori. "Dato che questi domini non erano mai stati registrati, è ragionevole pensare che le uniche condizioni per cui un sistema cercherebbe mai di risolvere l'indirizzo IP associato è perché sono stati compromessi dal malware."

Piriform ha buttato fuori una notifica interna per avvisare gli utenti CCleaner di aggiornare alla versione 5.34 il prima possibile. Gli utenti di CCleaner Cloud hanno ricevuto un aggiornamento automatico dalla v1.07.3191 alla 1.07.3214 e gli utenti di Avast Antivirus a loro volta hanno ricevuto un aggiornamento automatico.

Gli utenti che hanno scaricato le versioni infette di CCleaner dovrebbero assolutamente controllare il proprio sistema per eventuali malware e dovrebbero ripristinarlo a uno stato non contaminato precedente il 15 agosto. In caso non fosse possibile, i ricercatori di Cisco consigliano di installare di nuovo il sistema operativo sui sistemi infetti.

Il numero di attacchi alla filiera è in aumento quest'anno, a conferma del fatto che le case di sviluppo software e gli ingegneri di sistema sono diventati un obiettivo succulento per gli hacker. Con accesso alle infrastrutture di sviluppo o aggiornamento di un'azienda, gli hacker possono somministrare un malware agli utenti passando pressoché inosservati perché sfruttano un canale di distribuzione in cui tutti hanno fiducia.

Per anni, i ricercatori in sicurezza hanno avvisato gli utenti di scaricare software solo dal sito della casa produttrice o di essere certi che gli aggiornamenti software che installano siano legittimi e non ottenuti da risorse sospette. Questo avviso è completamente inutile, se gli attacchi compromettono la filiera produttiva.

Il mese scorso, i ricercatori del Kaspersky Lab, fornitore di antivirus, hanno trovato un programma di backdoor dentro a una suite software molto nota di connettività aziendale, sviluppata da un'azienda di nome NetSarang Computer. L'attacco ransomware di NotPetya che ha colpito aziende enormi a giugno scorso ha avuto inizio in Ucraina con un aggiornamento fraudolento per un programma di contabilità chiamato M.E.Doc e a maggio, i ricercatori di Microsoft hanno individuato un attacco malware ai danni di organizzazioni finanziarie che veniva eseguito attraverso i meccanismi di aggiornamento compromessi di un tool di editing di terze parti.

Ma neanche gli utenti di altri sistemi operativi dormono sonni tranquilli. All'inizio di quest'anno, alcuni hacker hanno compromesso un server di download per HandBrake, un convertitore video open source, e hanno distribuito una versione infettata a utenti MacOS. Il popolare client Transmission BitTorrent ha sofferto a sua volta non uno, ma due attacchi alla filiera di produzione, l'anno scorso.