Prima la preoccupante falla di Equifax, poi la scoperta che milioni di PC che hanno scaricato la release 5.33 di CCleaner contiene un malware. Il futuro delle infezioni corre attraverso la distribuzione di software fidato?
La settimana che ci siamo lasciati alle spalle è stata decisamente turbolenta in ambito di sicurezza informatica. In fondo, qualsiasi settimana che inizi con la breach di Equifax non può che essere foriera di cattivi presagi. Per fortuna l’Italia non vi ha niente a che vedere, ma si è trattato di una falla clamorosa che ha fatto drizzare le orecchie agli esperti, alcuni dei quali non hanno perso tempo nel disegnare scenari cupi per il futuro prossimo. Del resto, con i dati bancari di 124 milioni di americani potenzialmente esposti ad attacchi di hacker e aste al miglior offerente nel deep web, c’è poco da stare tranquilli. Ma è lungi dall’essere l’unica inquietudine, perché i ricercatori del Talos Group di Cisco hanno appena scoperto che un alto numero di computer sono a rischio malware.
1 CCleaner, quando un software amico porta malware
CCleaner è uno dei software più diffusi per la pulizia dell’hard disk da file inutilizzati e clutter informatico di vario tipo. I ricercatori di Talos hanno rilevato come due release del programma, la 5.33.6162 e la 1.07.3191 di CCleaner Cloud, entrambe nelle varianti con architettura a 32 bit, contengano un malware molto sofisticato. Il software è capace di creare una backdoor che rende controllabili da remoto i computer infetti, e al momento è impossibile capire l’entità dell’infezione. Sempre da Talos fanno sapere, infatti, che solo 20 su 700.000 PC controllati mostrano di essere stati sfruttati atraverso la backdoor. Numero che è solo una frazione rispetto ai PC realmente colpiti, nell’ordine delle migliaia secondo alcune stime forse fin troppo conservative.
2 Il paradigma sta cambiando
A pensarci, la strategia è ingegnosa. Trasformare un software “amico” in un cavallo di troia capace di superare qualsiasi antivirus e difesa antimalware presente sul computer è un ottimo modo per spargere infezioni senza essere scoperti. Per non parlare della sofisticazione raggiunta da chi ha creato questo malware, apparentemente capace di attaccare le macchine su tre livelli distinti, l’ultimo dei quali quasi fantascientifico nel suo modo di portare l’attacco direttamente alla RAM senza passare da alcun tipo di scrittura su disco. Modalità d’infezione che rende praticamente impossibile ogni rilevamento da parte di software specializzati.
3 La chiave è la catena di distribuzione
Il problema sta diventando sempre più frequente: solo negli ultimi tre mesi gli hacker hanno attaccato ben tre volte la catena di distribuzione di software commerciale. Celebre è stata l’infezione tramite un ransomware noto come NotPetya, originatasi in Ucraina per poi spargersi in Europa a grande velocità. L’obiettivo è spargere malware nei sistemi di installazione e aggiornamento delle compagnie stesse, ovvero alla base del meccanismo di distribuzione degli aggiornamenti per gli utenti. Com’è avvenuto nel caso di CCleaner, il software viene modificato ancor prima che venga validato dalla compagnia stessa. Trovando il modo di bypassare i sistemi di Avast, gli hacker sono riusciti infatti a modificare la release di CCleaner prima ancora che l’azienda vi apponesse la propria firma crittografata.
4 Un tipo di attacco che promette di crescere
E’ un trend di cui è facile predire la crescita, visto il numero di aziende che investono poco nella sicurezza informatica dei propri sistemi. Questo tipo di attacchi non sono una novità, ma gli avvenimenti degli ultimi mesi dimostrano che gli hacker si sono accorti di quanto siano utili per spargere malware. La pratica comune di affidarsi a software di tipo open source e distribuito in alti numeri ha creato una debolezza critica che trascende le norme seguite dagli utenti più attenti alla sicurezza informatica. Le persone si fidano delle aziende e della percepita sicurezza che le loro update suggeriscono. Se questo sistema viene meno alla base, l’utente medio non può avere protezioni efficaci in grado di proteggere dati, computer, e in generale la propria vita online.