Una versione compromessa di CCleaner ha diffuso malware per un mese

La versione 5.33 dell’app CCleaner messa a disposizione per il download tra Agosto e  Settembre nel sito ufficiale includeva il malware Floxif.
Che cosa è Floxif?
Floxif è un trojan che raccoglie informazioni riguardo ai sistemi infetti e le invia al proprio server C&C. Il malware ha anche la capacità di scaricare ed eseguire altri programmi dannosi, ma ad ora, non risulta che Floxif stia scaricando payload aggiuntivi in un secondo momento sulla macchina infetta.

Tra le informazioni raccolte ci sono il nome del computer, una lista dei software installati, l’elenco dei processi in corso, l’indirizzo MAC per le prime tre schede di rete e l’ID unico che identifica ogni computer. Il malware è compatibile solo coi sistemi operativi a 32-bit. Il malware inoltre cessa l’esecuzione se l’utente non sta usando l’account amministratore.

La versione compromessa di CCleaner
La versione compromessa è stata individuata da Cisco Talos, che, nell’ambito di alcuni test, ha scoperto che una versione 5.33 di CCleaner inviava richieste verso domini sospetti. Il report completo è visualizzabile qui.  Ulteriori analisi hanno specificato che non si tratta di una versione fake e dannosa di CCleaner, ma della versione scaricata dal sito ufficiale e firmata con un certificato digitale valido.
Fonte: Cisco Talos.
Probabilmente l’attaccante ha compromesso la catena di distribuzione di Avast, usandone poi il certificato digitale per sostituire l’app legittima di CCleaner v. 5.33.6162 sul sito con quella contenente il trojan Floxif. Tra le app compromesse c’è anche  CCleaner Cloud versione 1.07.3191.
Attualmente la versione in distribuzione è la 5.34, che risulta assolutamente pulita e sicura, mentre per quanto riguarda CCleaner Cloud è stata messa in distribuzione la stessa versione, ma nella versione ufficiale. Avast ha fatto sapere che la reinstallazione dei software originali dovrebbe risolvere il problema, dato che il malware era contenuto nel codice binario stesso delle app.
Quanti utenti infetti?
Floxif usa nomi di dominio generati in maniera casuale ogni mese per determinare l’indirizzo IP del suo server C&C, il “luogo” dove vengono memorizzati i dati raccolti da ogni macchina infetta. Le richieste DNS per i nomi dominio usati ci mostrano che centinaia, se non migliaia di utenti sono stati infettati.
Fonte: Bleeping Computer