Blog - Hackers Ocultaram Malware Na Ferramenta Pc Ccleaner Por Quase Um Mês

18/09/2017

Hackers ocultaram malware na ferramenta PC CCleaner por quase um mês

Hackers ocultaram malware na ferramenta CCleaner por quase um mês

A utilidade popular de uma empresa de propriedade da Avast foi comprometida para espalhar malware para potencialmente milhões de PCs.

Software CCleaner

Hackers usam servidores de download do software CCleaner, da Avast, para infectar milhões de PCs com um backdoor, um recurso utilizado para obter acesso remoto a um sistema ou rede, explorando falhas, programas desatualizados e brechas de segurança.

O chamado ataque dirigido aos usuários do CCleaner foi descoberto por pesquisadores da equipe de segurança cibernética Talos, da Cisco, que relatou suas descobertas à empresa antivírus.

A Avast adquiriu o fabricante britânico da CCleaner, Piriform, em julho, observando que o produto tinha 130 milhões de usuários. CCleaner é um utilitário de otimização e limpeza para Windows e Android.

Piriform esta manhã avisou aos usuários que a edição de 32 bits do Windows da versão 5.33.6162 do CCleaner e a versão 1.07.3191 do CCleaner Cloud, foram "modificados ilegalmente antes de serem divulgados ao público". Isso foi usado para infectar PCs com backdoor, que pode executar um código do endereço IP remoto do invasor.

As versões contaminadas do CCleaner e CCleaner Cloud foram lançadas em 15 de agosto e 24 de agosto, respectivamente.

De acordo com Piriform, o software pode ter sido usado por até três por cento de seus usuários. Com base em 130 milhões de usuários citados pela Avast, isso sugere que até 3,9 milhões de PCs poderiam ter sido infectados.

De acordo com a Piriform, os PCs com as versões comprometidas transmitiriam o nome do computador, endereço IP, uma lista de softwares instalados, além de uma lista de adaptadores de rede para um servidor externo localizado nos EUA. A empresa descreve isso como "dados não sensíveis”.

Depois de coletar os dados, o malware tentou upar os arquivos, em um segundo estágio do ataque. À medida que os dados foram criptografados, a Piriform não conseguiu explicar com exatidão as intenções do malware, no entanto, observa que o segundo estágio não foi eficaz e acredita que sua ativação é altamente improvável.

A Piriform diz que a Avast detectou atividade suspeita em seu servidor de download um dia antes da notificação da Cisco, mas não havia avisado o público até hoje, devido à sua cooperação com a aplicação da lei norte-americana, que envolveu desligar o servidor afetado em 15 de setembro.

 

Atualizações

A empresa diz que trabalhou para remover versões afetadas que estavam sendo distribuídas em sites de download de terceiros. Ele também enviou uma notificação aos usuários do CCleaner para atualizar para a versão 5.3, que não contém código comprometido, enquanto atualiza automaticamente CCleaner Cloud para uma versão limpa e segura.

Os usuários do Avast Antivírus também receberam uma atualização automática. Os usuários do CCleaner que não atualizaram precisam fazer isso manualmente.

A Piriform não determinou como seu software ficou comprometido. A equipe Talos da Cisco observa que a versão afetada do CCleaner foi assinada com um certificado válido que a Symantec emitiu para a Piriform. Dado isso e outras evidências encontradas, os pesquisadores acreditam que é provável que um invasor externo tenha comprometido parte do ambiente de desenvolvimento da Piriform para plantar malware no CCleaner. A outra possibilidade é algum funcionário interno com intenções maliciosas, observa.