CCleaner Descoberto Injetando Malware que Rouba Dados do Usuário

CCleaner é, sem dúvida, uma das ferramentas mais populares quando se trata de se livrar dos arquivos temporários e de outros arquivos indesejados que se acumulam em seu PC e smartphone. CCleaner é usado por milhões de usuários da internet (incluindo eu mesmo) para remover cookies e realizar uma limpeza. No entanto, além da interface limpa e dos recursos poderosos, o CCleaner aparentemente também tem um lado obscuro.

A maioria de nós usa o CCleaner periodicamente, pois isso melhora o desempenho do PC. No entanto, em uma recente reviravolta, o CCleaner é acusado de injetar malware nos sistemas. A ferramenta fez parte de um “incidente de segurança” onde os usuários foram atualizados com uma versão digitalmente assinada do software que eventualmente abriu uma porta dos fundos maliciosa.

As notificações de segurança informaram ainda que tanto o CCleaner v5.33.6162 quanto o CCleaner Cloud v1.07.3191 foram comprometidos. Uma vez descarregado, o malware aguardava cinco minutos antes de verificar se o usuário tinha privilégios de administrador. No próximo passo, o malware roubava informações do computador, incluindo a lista de softwares instalados, atualizações do Windows, endereços MAC dos adaptadores de rede e outras identidades únicas da máquina relacionadas. Todos esses dados eram então enviados para um servidor baseado nos EUA.

O problema foi descoberto pela primeira vez por pesquisadores da Cisco Talos e o instalador do CCleaner v5.3 foi o culpado. No entanto, ao contrário da maioria dos outros compromissos de instaladores, este veio com um certificado digital válido assinado pela Piriform. Isso é algo que, inadvertidamente, aponta para uma jogada suja em nível organizacional ou talvez em nível individual.

A presença de uma assinatura digital válida no binário malicioso do CCleaner pode ser indicativa de um problema maior que resultou em partes do processo de desenvolvimento ou assinatura sendo comprometidas. Idealmente, este certificado deve ser revogado e considerado não confiável daqui para frente. Ao gerar um novo certificado, deve-se ter cuidado para garantir que os atacantes não tenham acesso ao ambiente com o qual comprometer o novo certificado. Somente o processo de resposta a incidentes pode fornecer detalhes sobre a extensão desse problema e como abordá-lo da melhor forma. Cisco Talos

É bastante provável que um atacante externo tenha conseguido comprometer o ambiente de construção e que o mesmo tenha chegado à produção. Não é preciso dizer que o atacante poderia usar essa porta dos fundos para infectar milhões de computadores com o malware. Isso também aponta para alguém de dentro que tinha acesso ao desenvolvimento ou à organização de construção. A Piriform removeu as versões afetadas do servidor de download.

Dito isso, se você estiver usando o CCleaner 5.33, é aconselhável atualizar para o 5.34 o mais rápido possível e os usuários da edição gratuita do CCleaner precisam realizar uma atualização manual, pois a versão não oferece atualizações automáticas. E também escanear o sistema com um software anti-malware.