CCleaner comprometido: mejor revise su PC
- Categoría: Seguridad
Piriform, creadores del popular limpiador de archivos CCleaner, confirmaron el lunes 18 de 2017 que los piratas informáticos lograron atacar la red informática de la empresa con éxito.
Los piratas informáticos comprometieron dos versiones de CCleaner en el ataque que han sido utilizadas por hasta el 3% de la base de usuarios de la empresa.
Las versiones afectadas son CCleaner 5.33.6162 y CCleaner Cloud 1.07.3191. Según Piriform, solo las versiones de 32 bits de las aplicaciones se vieron comprometidas y distribuidas utilizando la propia infraestructura de la empresa.
La compañía pide a los usuarios que actualicen su versión del programa a la última versión disponible si aún no lo han hecho. La última versión de lanzamiento de CCleaner es la versión 5.34 al momento de escribir este artículo.
- CCleaner 5.33.6162 se lanzó el 15 de agosto de 2017 y una versión actualizada no comprometida se lanzó el 12 de septiembre de 2017.
- CCleaner Cloud 1.07.3191 se lanzó el 24 de agosto de 2017 y una versión no comprometida del programa el 15 de septiembre de 2017.
Investigadores de seguridad del grupo Talos de Cisco revelado detalles sobre el exitoso ataque a la cadena de suministro. Talos Group informó a Avast, la empresa matriz de Piriform, sobre la situación.
Talos Group 'identificó un ejecutable específico' durante las pruebas de la nueva herramienta de detección de exploits de la compañía que provino del instalador CCleaner 5.33 que a su vez fue entregado por servidores de descarga CCleaner legítimos.
El ejecutable de descarga se firmó con una firma Piriform válida. El instalador contenía una 'carga útil maliciosa que presentaba un algoritmo de generación de dominio', así como una funcionalidad de 'comando y control codificados'.
Los investigadores de Talos concluyeron que la carga útil maliciosa se distribuyó entre el lanzamiento de la versión 5.33 el 15 de agosto de 2017 y el lanzamiento de la versión 5.34 el 12 de septiembre de 2017.
Los investigadores piensan que es probable que 'un atacante externo comprometiera una parte' del entorno de desarrollo o compilación de Piriform, y utilizó el acceso para insertar el malware en la compilación CCleaner. Otra opción que los investigadores consideran es que un interno incluyó el código malicioso.
Los usuarios de CCleaner que quieran asegurarse de que la versión comprometida no esté todavía en su sistema pueden querer escanearla en Virustotal o escanéelo con ClamAV, ya que es el único software antivirus que detecta la amenaza en este momento.
Puedes descargar gratis ClamAV de este sitio web.
La carga útil maliciosa crea la clave de registro HKLM SOFTWARE Piriform Agomo: y la utiliza para almacenar información diversa.
Piriforme emitido una declaración el 18 de septiembre de 2017. Según esa declaración, es posible que se hayan transmitido datos no sensibles a un servidor en los Estados Unidos de América.
El compromiso podría provocar la transmisión de datos no confidenciales (nombre de la computadora, dirección IP, lista de software instalado, lista de software activo, lista de adaptadores de red) a un servidor informático de terceros en los EE. UU. No tenemos indicios de que se hayan enviado otros datos al servidor.
Paul Yung, vicepresidente de productos de la empresa, publicado también una evaluación técnica del ataque al blog de la empresa.
La única sugerencia que tiene Piriform es actualizar a la versión más reciente.
Palabras de cierre
Las versiones comprometidas de CCleaner y CCleaner Cloud se distribuyeron durante casi un mes. Con más de 20 millones de descargas por mes, y las actualizaciones, es una gran cantidad de PC que se han visto afectadas por esto.