Los piratas informáticos ocultaron malware en CCleaner durante casi un mes

CCleaner, el limpiador temporal de archivos y optimizador de registro de utilidad generalmente dudosa en la actualidad, ha sido marcado como que contiene malware. Peor aún, la compañía distribuyó versiones infectadas de sus productos durante casi un mes antes de darse cuenta del problema. La carga útil infectada afecta a dos productos CCleaner: CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191. Los usuarios de CCleaner Cloud ya deberían haber recibido una actualización, pero si usa CCleaner y no tiene habilitadas las actualizaciones automáticas, sería una buena idea verificar la situación ahora.

Inteligencia de Talos ha publicado una publicación de blog que detalla sus investigaciones y hallazgos, y no son excelentes. CCleaner es una utilidad popular, con un promedio de cinco millones de descargas por semana (más de dos mil millones de descargas acumuladas). Del 15 de agosto al 12 de septiembre, la versión 5.33 de CCleaner fue infectada por una carga útil de malware. Es preocupante que el malware estuviera firmado digitalmente con un certificado digital apropiado; Talos escribió, “la presencia de una firma digital válida en el binario CCleaner malicioso puede ser indicativo de un problema mayor que resultó en que partes del proceso de desarrollo o firma se vean comprometidas. Idealmente, este certificado debería revocarse y dejar de ser de confianza en el futuro. '

Las características del malware y el hecho de que estuviera firmado con un certificado válido sugiere que el desarrollador de CCleaner, Piriform Ltd, se ha visto comprometido. El malware comprueba si el propietario de la cuenta tiene privilegios ejecutivos y espera 600 segundos después del arranque para evitar algoritmos de detección. Una vez que ha detectado que un usuario final tiene acceso de administrador y ha realizado sus otras comprobaciones de validación, comienza a cifrar los datos del sistema y enviarlos a su servidor de comando y control.



CCleaner

Todo el proceso se describe a continuación, en un práctico diagrama de flujo.

Infección CCleaner

CCleaner es propiedad de Avast, la compañía antivirus, y ya ha emitido una disculpa pública y una declaración sobre el incidente. La compañía describe el malware como una 'puerta trasera de dos etapas capaz de ejecutar código recibido de una dirección IP remota en los sistemas afectados'. Piriformenotas que en el momento de escribir este artículo, “no queremos especular sobre cómo apareció el código no autorizado en el software CCleaner, dónde se originó el ataque, cuánto tiempo se estaba preparando y quién estaba detrás de él. La investigación sigue en curso. Queremos agradecer a Avast Threat Labs por su ayuda y asistencia con este análisis '.

Sin más para continuar, es imposible culpar por el incidente, pero los piratas informáticos probablemente se las arreglaron bastante bien. Un producto de seguridad es el último lugar donde la gente espera encontrar una versión de software comprometida, tanto por la naturaleza del programa como por el hecho de que un proveedor de seguridad es responsable de escribirlo y mantenerlo. Para bien o para mal, tendemos a ver a estas empresas como intrínsecamente mejores en seguridad propia que otras empresas. En general, es muy posible que lo sean, pero incidentes como este demuestran que nadie, ni siquiera un proveedor de seguridad, puede permitirse tomar el tema a la ligera.

Además, generalmente recomendamos no usar limpiadores de registro en esta época. Si bien CCleaner realiza una serie de funciones útiles que no son de seguridad, como recuperar espacio en el disco, los días en los que se necesitaba un software como este para mantener Windows funcionando sin problemas generalmente han terminado.

Copyright © Todos Los Derechos Reservados | 2007es.com