La versione 5.33 dell’applicazione CCleaner offerta per il download tra il 15 agosto e il 12 settembre è stata modificata per includere il malware Floxif, secondo un rapporto pubblicato da Cisco Talos.
Floxif è un downloader di malware che raccoglie informazioni sui sistemi infetti e lo invia al suo server C & C. Il malware ha anche la capacità di scaricare ed eseguire altri binari, ma al momento non vi è alcuna prova che Floxif ha scaricato ulteriori file di terze parti sugli host infetti. I malware hanno raccolto informazioni come: il nome del computer, l’elenco di software installati, elenco di processi in esecuzione, indirizzi MAC per le prime tre interfacce di rete e gli ID univoco per identificare in parte ciascun computer. I ricercatori hanno osservato che il malware funzionava solo su sistemi a 32 bit e che ha smesso di eseguire l’esecuzione se l’utente non sta utilizzando un account di amministratore.
I ricercatori hanno identificato una versione di CCleaner 5.33 facendo chiamate a domini sospetti. Cisco Talos ritiene che la minaccia potrebbe aver compromesso la catena di fornitura di Avast e ha utilizzato il suo certificato digitale per sostituire la legittima applicazione di CCleaner v5.33 sul suo sito web con quella che conteneva anche il trojan Floxif. Non è chiaro se la minaccia abbia violato i sistemi di Avast o che il codice dannoso sia stato aggiunto da “un insider con accesso allo sviluppo o allo sviluppo di ambienti all’interno dell’organizzazione”. Avast ha acquistato Piriform (sviluppatore originale di CCleaner) nel luglio di quest’anno, un mese prima che CCleaner 5.33 venne rilasciato.
Piriform ha riconosciuto l’incidente in un post sul blog di oggi. La società ha dichiarato di aver trovato il malware nella versione CCleaner versione 5.33.6162 e CCleaner Cloud versione 1.07.3191 . Il 13 settembre, Piriform ha rilasciato CCleaner 5.34 e ha spinto un aggiornamento agli utenti di CCleaner Cloud che non contengono il codice dannoso. I ricercatori di sicurezza stanno ora investigando su altre campagne di malware che sembrano essere state eseguite dalla infrastruttura di Avast, inclusa una campagna di distribuzione ransomware Locky.