È allarme per la possibile compromissione della versione 5.33.6162 di CCleaner (CCleaner Cloud 1.07.3191) disponibile al download sul sito ufficiale dal 15 agosto al 12 settembre. Si stima che gli utenti infetti possano essere quasi 2,3 milioni.
CCleaner, il popolare software per la pulizia e l’ottimizzazione di computer e smartphone, ha un bacino di utenza di 130 milioni di utenti.
Secondo quanto riportato da un report di Cisco Talos rilasciato questa mattina, la versione in oggetto (un’applicazione molto utilizzata per la pulizia di sistema) è stata modificata per includere il malware Floxif.
Si tratta di un malware downloader che raccoglie informazioni dai sistemi infetti e li trasferisce al centro di Comando e Controllo (C&C). Il malware ha la capacità di scaricare e lanciare altri eseguibili, ma al momento non ci sono evidenze di tali attività nella compromissione descritta.
Il malware raccoglie informazioni come hostname, MAC address e una lista di software installati e processi in esecuzione. I ricercatori hanno rilevato come il malware venga eseguito solamente su sistemi a 32-bit e che l’esecuzione venga interrotta qualora l’utente non sia amministratore della macchina.
Avast, società di sicurezza informatica che ha acquisito il publisher originario Piriform a luglio di quest’anno, ha comunicato che con l’aggiornamento alla versione rilasciata il 13 settembre il malware viene rimosso dai sistemi. Al momento non ci sono evidenze che la backdoor sia stata utilizzata per eseguire la delivery di nuovi malware.
L’investigazione ora si allarga alla compromissione dell’infrastruttura di Avast che ha permesso la modifica del codice sorgente di CCleaner. In particolare è stata rilevata una campagna di distribuzione di ransomware Locky, che sembra essere originata proprio dall’infrastruttura Avast.
Poiché il software non si aggiorna automaticamente, si consiglia a tutti gli utenti che non l’abbiano ancora fatto di scaricare e installare la versione più recente di CCleaner per mettersi al riparo da possibili rischi.