Los hackers comprometieron el software CCleaner al instalar una puerta trasera oculta

CCleaner contenía una puerta trasera maliciosa que robaba información de forma secreta de las computadoras de los usuarios

Los investigadores de la firma de seguridad, Cisco Talos, han informado que CCleaner, una herramienta de optimización del sistema distribuida por la firma de antivirus Avast, fue hackeada para distribuir malware directamente a sus usuarios a través de una puerta trasera oculta. El malware permite a los hackers potencialmente acceder a la computadora del usuario y otros sistemas conectados, para robar datos personales o credenciales.

CCleaner es un programa de utilidad popular utilizado para limpiar archivos potencialmente no deseados (incluidos archivos temporales de internet, donde tienden a residir programas y códigos maliciosos) y entradas inválidas del Registro de Windows de una computadora. CCleaner fue desarrollado por Piriform y ha sido adquirido recientemente por el fabricante de antivirus con sede en Praga, Avast, en julio. CCleaner tiene más de 2 mil millones de descargas en todo el mundo y se descarga hasta 5 millones de veces por semana.

Según los investigadores de Cisco Talos, la versión de 32 bits de la v5.33.6162 de CCleaner y la v1.07.3191 de CCleaner Cloud contenían una carga útil de malware de múltiples etapas que se instaló durante el período entre el 15 de agosto y el 12 de septiembre.

“Confirmamos que esta versión maliciosa de CCleaner estaba siendo alojada directamente en el servidor de descargas de CCleaner tan recientemente como el 11 de septiembre de 2017”, escribieron los investigadores.

Confirmando el ataque, Paul Yung de Piriform dijo en un comunicado: “Nos gustaría disculparnos por un incidente de seguridad que hemos encontrado recientemente en la versión 5.33.6162 de CCleaner y la versión 1.07.3191 de CCleaner Cloud. Se identificó una actividad sospechosa el 12 de septiembre de 2017, donde vimos una dirección IP desconocida recibiendo datos del software encontrado en la versión 5.33.6162 de CCleaner y la versión 1.07.3191 de CCleaner Cloud, en sistemas Windows de 32 bits. Basado en un análisis adicional, encontramos que la versión 5.33.6162 de CCleaner y la versión 1.07.3191 de CCleaner Cloud fueron modificadas ilegalmente antes de ser liberadas al público.”

Sin embargo, las versiones de Mac y Android de CCleaner no parecen haber sido afectadas.

Mientras Piriform estimó que 2.27 millones de personas usaron el software infectado, 5,000 instalaciones de CCleaner Cloud habían recibido la actualización maliciosa de ese software.

“Resolvímos esto rápidamente y creemos que no se causó daño a ninguno de nuestros usuarios”, dijo la compañía en un comunicado.

La compañía también agregó que el servidor malicioso está fuera de servicio y otros servidores potenciales están fuera del control del atacante.

“Los ataques a la cadena de suministro son una forma muy efectiva de distribuir software malicioso en organizaciones objetivo”, explicó el grupo de inteligencia de amenazas de Cisco, Talos, en un blog sobre el hackeo.

“Esto se debe a que con los ataques a la cadena de suministro, los atacantes confían en la relación de confianza entre un fabricante o proveedor y un cliente. Esta relación de confianza se abusa para atacar organizaciones e individuos y puede llevarse a cabo por una serie de razones diferentes.”

El blog de Talos señala que la naturaleza del código del ataque sugiere que el hackeo pudo haber sido un trabajo interno, ya que el hacker obtuvo acceso a una máquina utilizada para crear CCleaner.

“En esta etapa, no queremos especular sobre cómo apareció el código no autorizado en el software de CCleaner, de dónde se originó el ataque, cuánto tiempo se estuvo preparando y quién estuvo detrás de él. La investigación aún está en curso”, dijo Yung de Piriform.

Piriform ha aconsejado a los usuarios que han instalado CCleaner v5.33.6162 o CCleaner Cloud v1.07.3191 en su sistema que los eliminen y actualicen su software CCleaner a la versión 5.34 o superior. La última versión se puede descargar aquí.

También lee - Mejor limpiador de registro para PC con Windows 10

“Estamos continuando la investigación sobre cómo ocurrió esta violación, quién lo hizo y por qué”, dijo Piriform. “Nos disculpamos y estamos tomando medidas adicionales para asegurar que esto no vuelva a suceder. Estamos trabajando con las fuerzas del orden de EE. UU. en su investigación.