Cisco Talos sta informando utenti consumer e imprese su un incidente di cybersecurity che potrebbe interessare milioni di utenti in tutto il mondo. Si tratta di un attacco in cui criminali informatici hanno nascosto un malware all’interno della versione 5.33 a 32 bit di CCleaner (nota applicazione di Avast) disponibile per il download tra il 15 agosto e il 12 settembre 2017.

Chiunque abbia scaricato questa release o abbia effettuato un aggiornamento durante questo lasso di tempo è stato infettato. Il 13 settembre 2017 Cisco Talos ha informato Avast in modo che potesse intraprendere un’azione correttiva. Successivamente la versione contenente il malware è stata rimossa e non è più disponibile per il download. Tuttavia molti utenti sono ancora a rischio e rimarranno a rischio anche dopo l’aggiornamento alla versione sicura.

CC Cleaner di Avast è una soluzione ritenuta affidabile dagli utenti e uno strumento utile per migliorare le prestazioni di PC e smartphone rimuovendo i file non necessari. Nel novembre 2016, CCleaner contava 2 miliardi di download con un tasso di crescita di 5 milioni di utenti la settimana e, proprio da questi numeri, si possono capire la gravità e la portata dell’attacco.

ccleaner

Una volta installato il malware, che deposita sul sistema un payload aggiuntivo dalla natura malevola noto come Floxif, gli aggressori hanno potenzialmente accesso al computer dell’utente e ad altri sistemi connessi per rubare dati personali sensibili e/o credenziali che potrebbero essere utilizzate per l’online banking o altre attività online.

In modo analogo al malware Nyetya diffuso a fine giugno, anche in questo caso gli aggressori hanno violato un software legittimo e affidabile, trasformandolo in un’applicazione dannosa. Gli attacchi alla supply chain sono un modo molto efficace per distribuire software dannosi, proprio perché gli utenti hanno massima fiducia nella sicurezza di queste applicazioni ben note e ampiamente utilizzate.

La cosa da fare immediatamente è aggiornare CCleaner all’ultima versione disponibile, sperando che nel frattempo il payload della release precedente non abbia già raccolto dati sensibili. Per rimuovere il malware invece, si dovrebbe eseguire un restore da un backup precedente o utilizzare un antivirus come ClamAV (aggiornato proprio da Cisco Talos), che potrebbe già rilevare la minaccia.