CCleaner se encuentra inyectando malware que roba datos de usuarios

CCleaner es, sin duda, una de las herramientas más populares cuando se trata de deshacerse de los archivos temporales y otros archivos basura que se acumulan en tu PC y smartphone. CCleaner es utilizado por millones de usuarios de internet (incluyéndome) para eliminar cookies y realizar una limpieza. Sin embargo, además de la interfaz limpia y las potentes características, CCleaner aparentemente también tiene un lado oscuro.

La mayoría de nosotros usamos CCleaner periódicamente ya que mejora el rendimiento del PC, sin embargo, en un reciente giro de eventos, CCleaner es acusado de inyectar malware en los sistemas. La herramienta fue parte de un “incidente de seguridad” en el que los usuarios fueron actualizados con una versión digitalmente firmada del software que eventualmente abrió una puerta trasera maliciosa.

Las notificaciones de seguridad informaron además que tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191 fueron comprometidos. Una vez que se descargó, el malware esperaría cinco minutos antes de verificar si el usuario tenía privilegios de administrador. En el siguiente paso, el malware robó información de la computadora, incluyendo la lista de software instalado, actualizaciones de Windows, direcciones MAC de adaptadores de red y otras identidades únicas de la máquina relacionadas. Todos estos datos fueron luego enviados a un servidor basado en EE. UU.

El problema fue descubierto por primera vez por investigadores de Cisco Talos y el instalador de CCleaner v5.3 fue el culpable. Sin embargo, a diferencia de la mayoría de los otros compromisos de instaladores, este vino con un certificado digital válido firmado por Piriform. Esto es algo que señala inadvertidamente un juego sucio a nivel organizacional o quizás a nivel individual.

La presencia de una firma digital válida en el binario malicioso de CCleaner puede ser indicativa de un problema mayor que resultó en que partes del proceso de desarrollo o firma fueran comprometidas. Idealmente, este certificado debería ser revocado y no confiable en el futuro. Al generar un nuevo certificado, se debe tener cuidado para asegurar que los atacantes no tengan un punto de apoyo dentro del entorno con el que comprometer el nuevo certificado. Solo el proceso de respuesta a incidentes puede proporcionar detalles sobre el alcance de este problema y cómo abordarlo mejor. Cisco Talos

Es bastante probable que un atacante externo haya tenido éxito en comprometer el entorno de construcción y que el mismo haya llegado a la producción. No hace falta decir que el atacante podría utilizar esta puerta trasera para infectar millones de computadoras con el malware. Esto también señala a alguien del interior que tuvo acceso al desarrollo o a la organización de construcción. Piriform ha eliminado las versiones afectadas del servidor de descargas.

Dicho esto, si estás utilizando CCleaner 5.33, es recomendable actualizar a la 5.34 lo antes posible y los usuarios de la edición gratuita de CCleaner necesitan realizar una actualización manual ya que la versión no ofrece actualizaciones automáticas. Y también escanear el sistema con un software anti-malware.