Hackers comprometeram o software CCleaner ao instalar uma porta dos fundos oculta

CCleaner continha uma porta dos fundos maliciosa que secretamente roubava informações dos computadores dos usuários

Pesquisadores da empresa de segurança, Cisco Talos, relataram que o CCleaner, uma ferramenta de otimização de sistema distribuída pela empresa de antivírus Avast, foi hackeado para distribuir malware diretamente para seus usuários através de uma porta dos fundos oculta. O malware permite que hackers potencialmente acessem o computador do usuário e outros sistemas conectados, para roubar dados pessoais ou credenciais.

CCleaner é um programa utilitário popular usado para limpar arquivos potencialmente indesejados (incluindo arquivos temporários da internet, onde programas e códigos maliciosos tendem a residir) e entradas inválidas do Registro do Windows de um computador. O CCleaner foi desenvolvido pela Piriform e foi recentemente adquirido pela fabricante de antivírus com sede em Praga, Avast, em julho. O CCleaner tem mais de 2 bilhões de downloads em todo o mundo e é baixado com frequência de até 5 milhões de vezes por semana.

De acordo com os pesquisadores da Cisco Talos, a versão de 32 bits do v5.33.6162 do CCleaner e a v1.07.3191 do CCleaner Cloud continham um payload de malware de múltiplas etapas que foi instalado durante o período entre 15 de agosto e 12 de setembro.

“Confirmamos que esta versão maliciosa do CCleaner estava sendo hospedada diretamente no servidor de download do CCleaner até recentemente, em 11 de setembro de 2017,” escreveram os pesquisadores.

Confirmando o ataque, Paul Yung da Piriform disse em um comunicado: “Gostaríamos de pedir desculpas por um incidente de segurança que encontramos recentemente na versão 5.33.6162 do CCleaner e na versão 1.07.3191 do CCleaner Cloud. Uma atividade suspeita foi identificada em 12 de setembro de 2017, onde vimos um endereço IP desconhecido recebendo dados do software encontrado na versão 5.33.6162 do CCleaner e na versão 1.07.3191 do CCleaner Cloud, em sistemas Windows de 32 bits. Com base em uma análise mais aprofundada, descobrimos que a versão 5.33.6162 do CCleaner e a versão 1.07.3191 do CCleaner Cloud foram modificadas ilegalmente antes de serem lançadas ao público.”

No entanto, as versões para Mac e Android do CCleaner não parecem ter sido afetadas.

Enquanto a Piriform estimou que 2,27 milhões de pessoas usaram o software infectado, 5.000 instalações do CCleaner Cloud receberam a atualização maliciosa para esse software.

“Resolvemos isso rapidamente e acreditamos que nenhum dano foi causado a nenhum de nossos usuários,” disse a empresa em um comunicado.

A empresa também acrescentou que o servidor invasor está fora do ar e outros servidores potenciais estão fora do controle do atacante.

“Os ataques à cadeia de suprimentos são uma maneira muito eficaz de distribuir software malicioso em organizações-alvo,” explicou o grupo de inteligência de ameaças da Cisco, Talos, em um blog sobre o hack.

“Isto porque, com ataques à cadeia de suprimentos, os atacantes estão contando com a relação de confiança entre um fabricante ou fornecedor e um cliente. Essa relação de confiança é então abusada para atacar organizações e indivíduos e pode ser realizada por uma série de razões diferentes.”

O blog da Talos observa que a natureza do código do ataque sugere que o hack pode ter sido um trabalho interno, já que o hacker obteve acesso a uma máquina usada para criar o CCleaner.

“Neste estágio, não queremos especular sobre como o código não autorizado apareceu no software CCleaner, de onde o ataque se originou, há quanto tempo estava sendo preparado e quem estava por trás disso. A investigação ainda está em andamento,” disse Yung da Piriform.

A Piriform aconselhou os usuários que instalaram o CCleaner v5.33.6162 ou o CCleaner Cloud v1.07.3191 em seu sistema a excluí-los e atualizar seu software CCleaner para a versão 5.34 ou superior. A versão mais recente pode ser baixada aqui.

Também Leia - Melhor Limpador de Registro Para PC Windows 10

“Estamos continuando a investigar como essa violação aconteceu, quem a fez e por quê,” disse a Piriform. “Pedimos desculpas e estamos tomando medidas extras para garantir que isso não aconteça novamente. Estamos trabalhando com as autoridades policiais dos EUA em sua investigação.