L'attacco è stato descritto così dai ricercatori di Cisco Talos: "la versione firmata legittima di CCleaner 5.33.. Inoltre, conteneva un carico utile di malware in più fasi che passava sopra l'installazione di CCleaner. "La società madre di CCleaner, Piriform (che è stata recentemente acquistata dalla terribile compagnia di antivirus Avast), ha riconosciuto il problema poco dopo.
Poiché CCleaner afferma di avere milioni di download a settimana, questo è potenzialmente un problema grave.
Cosa fa il malware?
Il malware non ha danneggiato attivamente i sistemi, ma ha crittografato e raccolto informazioni che potrebbero essere utilizzate per danneggiare il sistema in futuro. In particolare, secondo Piriform, ha creato un identificativo univoco per il computer e raccolto:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Puoi leggere maggiori informazioni tecniche sull'attacco al blog di Cisco Talos e sul blog di Piriform.
Ero interessato?
Per fortuna, sembra che questo malware abbia interessato solo un certo sottoinsieme di utenti di CCleaner. In particolare, ha influenzato:
- Utenti che eseguono la versione a 32 bit dell'applicazione (non la versione a 64 bit)
- Utenti che eseguono la versione 5.33.6162 di CCleaner o CCleaner Cloud 1.07.3191, rilasciata il 15 agosto 2017
Poiché molti utenti probabilmente usano la versione a 64 bit dell'applicazione e CCleaner Free non si aggiorna automaticamente, questa è una buona notizia per molte persone.
(Aggiornare: Pochi giorni dopo l'interruzione di questa notizia, è stato scoperto un secondo carico utile che riguardava utenti a 64 bit, ma si trattava di un attacco mirato contro le società tecnologiche, quindi è improbabile che la maggior parte degli utenti domestici ne risentisse.)
Se si utilizza una versione a 32 bit di Windows e si pensa di aver scaricato CCleaner durante il periodo di tempo interessato, ecco come verificare quale versione è disponibile. Apri CCleaner e guarda nell'angolo in alto a sinistra della finestra: dovresti vedere un numero di versione sotto il nome del programma.
HKLMSOFTWAREPiriform
e vedere se c'è una chiave etichettata
Agomo:MUID
. Se questa chiave esiste, significa che hai il software infetto sul tuo sistema in un determinato momento.)
Cosa dovrei fare?
Sebbene non sia stato rilevato nulla di immediatamente dannoso, Cisco Talos consiglia di ripristinare il sistema in uno stato prima del 15 agosto 2017 da un backup in caso di problemi. Probabilmente dovresti eseguire una scansione antivirus e MalwareBytes sul tuo sistema e sui tuoi backup per assicurarti che nessun malware sia rimasto installato.
In alternativa, si dice, è possibile reinstallare Windows completamente, sì, è un po 'un'opzione nucleare, ma è l'unico modo per sapere completamente che il tuo sistema è pulito dopo un evento come questo.
