Dei cyber criminali hanno corrotto la versione 5.33 di CCleaner

Malware che si infiltrano in anti-malware

CCleaner, è un popolare tool utilizzato per pulire i computer da adware e altre forme di malware e per mantenere i processi del computer ottimizzati. Tuttavia non è riuscito a respingere l'attacco di cyber criminali. Tutti gli utenti che hanno scaricato la versione 5.33 tra il 15 Agosto e il 12 Settembre, rischiano di essere infettati dal malware Floxif.

Oltre 2 milioni di utenti negli US, in Russia, e nell'Europa dell'est potrebbero essere stati infettati data l'elevata popolarità di questo software in queste aree. Anche se possono essere stati infettati solo i sistemi a 32 bit, raccomandiamo a tutti gli utenti di aggiornare il software all'ultima edizione.

Come agisce il virus Floxif?

I ricercatori IT hanno scoperto che il virus Floxif raccoglie i dati tecnici della vittima e li trasmette al suo server di Controllo e Comando in remoto. I ricercatori di Cisco Talos che hanno identificato la versione corrotta, hanno anche scoperto che il malware effettua richieste all'indirizzo IP 216.126.225.148 .

All'inizio la versione corrotta non ha destato alcun sospetto perchè era stata scritta tramite una firma digitale valida. Per cui, il malware è stato diffuso pensando si trattasse della versione 5.33 pubblicata da Piriform (gli sviluppatori originali della minaccia; ora di proprietà di Avast).

Inoltre, l'infezione inserita nel software ci mette 601 secondi prima della sua esecuzione. Questo è stato fatto per evitare il sandboxing. È interessante notare come il virus Floxif riesca ad eseguire se stesso sul sistema con i diritti di amministratore.

Dopo aver scaricato e avviato il processo aggiornato, il malware individua e sostituisce l'esistente CBkdr.dll con la sua versione identica, ma corrotta. Oltre a tracciare e trasmettere informazioni al server, l'infezione non ha mostrato altri comportamenti.

Gli specialisti di cyber security si sono chiesti anche come il malware sia riuscito a passare il sistema di controllo di Avast. Alcuni ipotizzano che gli hacker siano riusciti a comunicare con qualche insider che ha avuto accesso allo sviluppo del software.

Al momento è sicuro scaricare CCleaner?

Sebbene sia ancora possibile installare la versione 5.33, il malware è stato eliminato con successo. Avast ha pubblico la versione 5.34 il 13 Settembre.

Considerato che gli utenti ordinari non hanno modo di evitare l'infezione in quanto si trova inserita in un tool legittimo, potrebbero trovare utili questi consigli:

• utilizzate due differenti tool per l'eliminazione e la prevenzione di malware
• scaricarli dal sito ufficiale e installate l'ultima versione pubblicata