CCleaner violato: l'hack è ben più grave di quanto previsto

[Ale55andr0]

Quote:

Originariamente inviato da fraussantin

Io lo usavo perlopiú per gestire le app che si autoavviano e non hanno l'impostazione per disattivarla.

Esiste qualche altra app o tool sicura per questo uso?

hai provato col comando msconfig? dovresti poter deselezinare quelle applicazioni che partono all'avvio di windows

[fraussantin]

Quote:

Originariamente inviato da Ale55andr0

hai provato col comando msconfig? dovresti poter deselezinare quelle applicazioni che partono all'avvio di windows

ma non ci sono tutte .

cmq funziona benissimo il tool postato da Jabberwock. un po meno intuitivo su alcune app ( mostra tutti i singoli processi di ogni app) , ma dopo 5 mn ci si fa subito l'occhio.
ps

volevo far notare come di fatti come questi ne accadano sempre più spesso. ( ricordo di qbittorrent , ma anche altri)
quando si esegue un installer conviene passarlo da virus total e disattivare sempre l'autoupdate.

magari il prossimo potrebbe essere proprio il sw di cui non possiamo farene a di meno.

[Goofy Goober]

nell'articolo dovreste ricordare che il tutto coinvolgeva solo le versioni a 32bit di CCleaner e quindi di Windows (in quanto su Win 64bit si installa automaticamente CCleaner 64bit).

è importante perchè tanti utenti soprattutto di questo sito leggono e stanno più tranquilli, dato che ormai immagino siano già diversi anni che non hanno più contatti con sistemi Win a 32bit.

[sniperspa]

Pensate se sono riusciti ad avere accesso a codici di rilevanza per i sistemi di sicurezza di quelle società...potrebbero pure fruttare delle 0-days facili facili per quanto ne sappiamo

[ulukaii]

Quote:

Originariamente inviato da fraussantin

ma non ci sono tutte .

cmq funziona benissimo il tool postato da Jabberwock. un po meno intuitivo su alcune app ( mostra tutti i singoli processi di ogni app) , ma dopo 5 mn ci si fa subito l'occhio.
ps

volevo far notare come di fatti come questi ne accadano sempre più spesso. ( ricordo di qbittorrent , ma anche altri)
quando si esegue un installer conviene passarlo da virus total e disattivare sempre l'autoupdate.

magari il prossimo potrebbe essere proprio il sw di cui non possiamo farene a di meno.

Non si trattava dell'installer, ma dell'eseguibile stesso del software. Avevano compromesso l'exe (x32), per questo anche chi aveva la portable non era al sicuro.

E passarlo con un AV non avrebbe risolto nulla (in genere con una suite AV installata è una cosa che avviene in automatico), in quanto era firmato con un certificato valido. Nessuno lo individuava come trojan.

E' questa la grossa differenza dai precedenti attacchi ad altre software house, qui hanno compromesso la filiera di produzione.

[ulukaii]

Quote:

Originariamente inviato da Goofy Goober

nell'articolo dovreste ricordare che il tutto coinvolgeva solo le versioni a 32bit di CCleaner e quindi di Windows (in quanto su Win 64bit si installa automaticamente CCleaner 64bit).

è importante perchè tanti utenti soprattutto di questo sito leggono e stanno più tranquilli, dato che ormai immagino siano già diversi anni che non hanno più contatti con sistemi Win a 32bit.

Fosse solo quello il problema, anche la precedente news era riportata in termini sensazionalistici. Una cosa così può andar bene per un portale che si occupa di altro e tocca questi argomenti solo per conoscenza generale, ma non per chi si dedica all'informatica e alla tecnologia. L'argomento andava affrontato in modo molto più dettagliato.

Riportare le news così, incomplete, imprecise e senza nemmeno indicare come individuare eventuali compromissioni sul sistema (cose riportate alla fonte, ma non poi nell'articolo) serve solo ad attirare click e spaventare l'utente. Ricordo che non si parla di un software usato da 4 gatti, ma di un prodotto noto da anni nel settore, estremamente diffuso, linkato tra i donwload abituali anche di questo portale (basta guardar sotto) e a volte consigliato pure da società AV terze per "pulire" il sistema prima di installare i loro prodotti.

Di contro c'è però da dire che le news sulle offerte dei prodotti sono in genere molto precise e dettagliate

[fraussantin]

Quote:

Originariamente inviato da ulukaii

Non si trattava dell'installer, ma dell'eseguibile stesso del software. Avevano compromesso l'exe (x32), per questo anche chi aveva la portable non era al sicuro.

E passarlo con un AV non avrebbe risolto nulla (in genere con una suite AV installata è una cosa che avviene in automatico), in quanto era firmato con un certificato valido. Nessuno lo individuava come trojan.

E' questa la grossa differenza dai precedenti attacchi ad altre software house, qui hanno compromesso la filiera di produzione.

Si senza certificato non penso che windows lo installerebbe neppure. O almeno a me ogni volta che installo un file amatoriale la fa lunga come una suocera.
Però credevo che gli antivirus ( quelli buoni) riconoscessero un exe che installa roba particolare.

E se non erro virus total non usa i database dei vari antivirus ( che si "formano" sui dati rilevati sui pc dove sono installsti?)


se mi dici questo l'unica via di salvezza ( almeno per il pc che uso per banca e ecc) è scaricare l'installer e tenerlo li ad invecchiare qualche settimana in attesa di eventuali news..

[ulukaii]

Quote:

Originariamente inviato da fraussantin

Si senza certificato non penso che windows lo installerebbe neppure. O almeno a me ogni volta che installo un file amatoriale la fa lunga come una suocera.
Però credevo che gli antivirus ( quelli buoni) riconoscessero un exe che installa roba particolare.

E se non erro virus total non usa i database dei vari antivirus ( che si "formano" sui dati rilevati sui pc dove sono installsti?)


se mi dici questo l'unica via di salvezza ( almeno per il pc che uso per banca e ecc) è scaricare l'installer e tenerlo li ad invecchiare qualche settimana in attesa di eventuali news..

No, nessun software AV lo identificava, l'exe era firmato e certificato, negli articoli apparsi (su AVAST/Cisco, non qui) era stato spiegato chiaramente il processo.
Anche una semplice scansione dell'exe nello zip della portable non avrebbe individuato nulla, così come ciò che poi l'exe faceva una volta eseguito (quindi quando lavorava) e te lo dico con certezza assoluta, in quanto testato personalmente su vari sistemi prima che saltasse fuori il tutto (Kaspersky 2017-18, Malwarebyte, HitmanPro, Avast e altri, compresa quella fetecchia di Defender). Per dire che neanche KIS configurato in "pignoleria-mode" sniffasse comportamenti anomali, la dice lunga su quanto fosse sofisticata la cosa.

Gli AV hanno iniziato ad identificarlo solo dopo che il caso è stato scoperto, quindi dalla settimana scorsa. Esempio, quando è apparso l'articolo di Cisco, nell'immagine a fondo pagina mostra solo 1 prodotto (il loro ovviamente) che in quel momento lo individuava.

Pensa solo a questo, immagina una compromissione così sofisticata all'interno di un drivers oppure di software ancora più diffuso che si aggiorna automaticamente senza controllo da parte dell'utente (Win 10 ) e che quindi una volta inoculato, rimanda a scaricare ulteriori versioni esterne ancor più sofisticate e "raffinate"...

[arcofreccia]

Ma solamente se si avviava una scansione c'era questo rischio? O bastava che era installato?

[ulukaii]

Quote:

Originariamente inviato da arcofreccia

Ma solamente se si avviava una scansione c'era questo rischio? O bastava che era installato?

Di default Ccleaner all'avvio (già dai tempi di Win 8) imposta, al di là del monitoraggio (Opzioni > Monitoraggio > 1° e 3° check) anche un'opzione idiota per bypassare l'avviso UAC di Windows (Opzioni > Avanzate > Ignora Avviso UAC) in modo da non infastidire l'utente niubbo con avvisi durante l'esecuzione.

Con quest'ultima check attiva, viene impostato un task nelle Utilità di Pianificazione di Windows che in pratica all'avvio del sistema lancia Ccleaner argomentanto (passandogli come parametro $Arg0) per far saltare il messaggio del UAC quando poi l'utente avvia effettivamente l'applicazione.

Quindi anche con l'applicazione presente e mai avviata dall'utente, il sistema in realtà lo fa comunque.

Occorre però ricordare che su sistemi x64 anche se Ccleaner presenta entrabi gli eseguibili (x32 e x64) viene avviata sempre la versione coerente col sistema, quindi la x64 (e l'eseguibile compromesso era la versione x32).

[fraussantin]

Quote:

Originariamente inviato da ulukaii

No, nessun software AV lo identificava, l'exe era firmato e certificato, negli articoli apparsi (su AVAST/Cisco, non qui) era stato spiegato chiaramente il processo.
Anche una semplice scansione dell'exe nello zip della portable non avrebbe individuato nulla, così come ciò che poi l'exe faceva una volta eseguito (quindi quando lavorava) e te lo dico con certezza assoluta, in quanto testato personalmente su vari sistemi prima che saltasse fuori il tutto (Kaspersky 2017-18, Malwarebyte, HitmanPro, Avast e altri, compresa quella fetecchia di Defender). Per dire che neanche KIS configurato in "pignoleria-mode" sniffasse comportamenti anomali, la dice lunga su quanto fosse sofisticata la cosa.

Gli AV hanno iniziato ad identificarlo solo dopo che il caso è stato scoperto, quindi dalla settimana scorsa. Esempio, quando è apparso l'articolo di Cisco, nell'immagine a fondo pagina mostra solo 1 prodotto (il loro ovviamente) che in quel momento lo individuava.

questo è un grave problema .adesso immagino che i cracker di tutto il mondo stiano studiando come replicare l' evento.

Quote:

Pensa solo a questo, immagina una compromissione così sofisticata all'interno di un drivers oppure di software ancora più diffuso che si aggiorna automaticamente senza controllo da parte dell'utente (Win 10 ) e che quindi una volta inoculato, rimanda a scaricare ulteriori versioni esterne ancor più sofisticate e "raffinate"...

be ci ho sempre pensato , per questo tengo disattivo l' autoupdate di tutte le app indi , o cmq di piccole sh.

non penso che possano bucare i server di nvidia , creative ecc così in profondità o almeno spero.un conto è prelevare dati come sul psn , un altro è sostituire un installer o peggio un file beta dal pc del developer prima che lo compili ( chissà come han fatto).

solo che ignorantemente speravo che gli antivirus li rilevassero ..

[ulukaii]

Teoricamente potrebbero, tra euristica avanzata e funzioni pro attive, ma solo se il comportamento rilevato è effettivamente anomalo perché in questo caso si trattava di un'applicazione certificata e il codice inoculato era davvero subdolo.
Mettiamo anche che una semplice azione generasse un warning, come utente lo si sarebbe probabilmente identificato come un falso positivo, anche perché non è un'app che ha fatto pinco pallino, ma roba rilasciata da Piriform/Avast.

Ora vediamo la cosa dalle info di Cisco/Talos/Avast/Piriform sul lavoro fatto in questi giorni per ricostruire il comportamento e le azioni del malware e degli hackers, dietro c'è qualcosa di grosso, non un paio di teeangers in un garage.

Poi ovviamente noi facciamo questi discorsi... poi vai in banca e ti becchi l'addetto che ravana su Win XP e lì ti cadono i c....

[Nui_Mg]

Quote:

Originariamente inviato da ulukaii

Tutte le versioni di Ccleaner 5.33 erano compromesse, non solo quelle con l'installer (standard/slim), ma anche la portable, perché non veniva iniettato nulla in fase d'installazione,

Ah ok, personalmente l'avrei evitata anche avessi usato la versione 32bit visto che sono su account standard e che faccio sempre uno snapshot del reg e sys dirs pre-post avvio dell'eseguibile.

[fraussantin]

Quote:

Originariamente inviato da ulukaii

Poi ovviamente noi facciamo questi discorsi... poi vai in banca e ti becchi l'addetto che ravana su Win XP e lì ti cadono i c....

... con le credenziali di accesso salvate sul telefono.

Spero cmq che in banca la sicurezza vada oltre il s.o. usato.


Anche perchè altrimenti avremmo i conti vuoti ( piú del solito XD)!

[Nicodemo Timoteo Taddeo]

Nessuno si chiede perché solo la versione a 32 bit? Perché la 64 l'hanno lasciata intonsa?

[Benjamin Reilly]

caspita, l'hanno usato come horse trojan. Da quale versione? Le precedenti è sicuro siano sicure?

[ulukaii]

Quote:

Originariamente inviato da Benjamin Reilly

caspita, l'hanno usato come horse trojan. Da quale versione? Le precedenti è sicuro siano sicure?

E' tutto documentato sui blog Avast e Talos/Cisco. La versione colpita era la v5.33, in particolare l'exe x32 di Ccleaner

[gerko]

L'articolo è fatto male, ho capito qualcosa solo grazie ai commenti degli utenti.

In pratica solo alcune versioni tra le più recenti contenevano un malware. Io ne ho una vecchia e non ho problemi ad esempio.
Grazie Ulukaii per aver scritto per primo le chiavi da controllare. Lunedì a lavoro mi tocchera fare un controllo, ma credo proprio abbiamo una di queste con malware.

[Zoom]

Sono semplicemente appassionato di informatica e computer. Da alcuni anni ho abbandonato i software di pulizia, perchè provocano dipendenza e provandone diversi si scopre che alla fine della fiera non eliminano tutti i residui. Si ha la sensazione dopo aver eseguito la scansione ed eliminato i file residui, che il computer funzioni meglio, e che se, i nostri dischi rigidi fossero controllati, non verrebbe trovata traccia della nostra attività. Invece nel registro di sistema rimangono le tracce ben più importanti, quelle che gli investigatori cercano se ci viene sequestrato il computer. Per pulire a livello Ccleaner, basta sapere la directory delle cartelle che accumulano quei dati non necessari e sensibili sull' uso che facciamo del PC. Nel registro di sistema si trovano riferimenti a programmi vecchi disinstallati, ai siti visitati, ai download fatti, via browser, con torrent o altro software. Purtroppo l'utente medio non sa come fare, quindi si affida a questi spazzini, che comunque sono passibili di malfunzionamenti, o come in questo caso, infettati da malware.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Zoom

Sono semplicemente appassionato di informatica e computer. Da alcuni anni ho abbandonato i software di pulizia, perchè provocano dipendenza

Addirittura... mi pare si stia un peletto esagerando sull'argomento

Quote:

Per pulire a livello Ccleaner, basta sapere la directory delle cartelle che accumulano quei dati non necessari e sensibili sull' uso che facciamo del PC.

Ed è proprio qui che sta il vantaggio di questi software, non devi sapere dove stanno le cose ed andare a cancellarle una per una.

Io CCleaner lo uso da una decina di anni, prima di fare il backup della partizione di sistema gli faccio cancellare tutti i file delle cache dei programmi e di tutto quello che non mi serve mettere nei backup. In pochi secondi vanno via mediamente file per circa un gigabyte alla volta, a volte di più se c'è il cestino pieno. Lo uso per ogni utente del PC (tre-quattro), risparmiando quindi diversi gigabyte di inutile fuffa nel backup finale.

Se lo dovessi fare manualmente e per tutti gli utenti ci vorrebbe mezza giornata solo per questo...

Mai avuto mezzo che fosse mezzo problema in oltre dieci anni.

Il punto non è il genere di programma, ma come lo si usa. Cioè come al solito dipende dal solito pezzo di carne, ossa, sangue, pelle ecc. ecc. che sta tra la sedia e il mouse.