L’attacco a CCleaner è stato più vasto e complesso di quanto inizialmente ritenuto: una particolare versione del malware distribuito insieme con la nota utilità era progettato per bersagliare aziende di alto profilo.
Nei giorni scorsi abbiamo dato conto del grave attacco informatico sferrato nei confronti dell’infrastruttura di Piriform, società sviluppatrice della popolarissima utilità CCleaner, di recente acquisita da Avast: CCleaner vittima di un attacco: l’installazione caricava un malware.
Gli esperti di Cisco Talos Group tornano oggi sull’argomento spiegando che l’attacco nei confronti di CCleaner e dei suoi utenti è più ampio e sofisticato di quanto si è inizialmente ritenuto.
Talos ha scoperto un secondo payload (il payload è il componente di un virus informatico che ne estende le funzioni oltre l’infezione del sistema) che appare progettato per aggredire diverse società di altro profilo dell’industria IT (tra cui Microsoft, Sony, Cisco, Samsung, Intel, D-Link, Vodafone, Epson e HTC).
CCleaner sarebbe insomma divenuto testa di ponte per attaccare, con codice “ad hoc”, alcune tra le più importanti aziende. Gli autori del malware hanno potuto così mantenere il loro codice malevolo under the radar evitando un’aggressione su più larga scala che sarebbe stata immediatamente scoperta.Si ipotizza, a questo punto, che l’aggressione possa essere stata messa in campo per provare a sottrarre dati sensibili e proprietà intellettuale appartenente alle varie aziende di alto profilo.
Spia di questo secondo attacco sarebbe la presenza, nel registro di sistema di Windows, delle seguenti chiavi:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
Per verificarne l’esistenza, da prompt dei comandi basta digitare quanto segue:
reg query “HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf”
La presenza della sola chiave WbemPerf” non è sintomo di infezione.
Talos segnala che la presenza dei file GeeSetup_x86.dll, EFACli64.dll e TSMSISrv.dll è altresì sinonimo di infezione.