CCleaner es una de las herramientas más utilizadas para aquellos que desean estabilizar Windows al eliminar las entradas inválidas del registro del sistema, los archivos temporales y otros datos inútiles o peligrosos. Pero recientemente el software en sí se ha convertido en un peligro: dos versiones de CCleaner distribuidas desde agosto han sido pirateadas para capturar información del usuario.
No está claro cuántas computadoras se vieron afectadas, pero las estimaciones iniciales indican que CCleaner 5.33.6162 (32 bits) se ha descargado 2.27 millones de veces. Esta es la versión modificada por los atacantes. CCleaner Cloud 1.07.3191 también se modificó incorrectamente, pero esta versión solo tenía alrededor de 5,000 descargas.
La parte más irónica de esta historia es que Piriform, la compañía responsable de CCleaner, fue comprada por Avast en julio . Ninguna de las partes se dio cuenta de que el software había sido comprometido. CCleaner 5.33.6162 y CCleaner Cloud 1.07.3191 comenzaron a enviarse el 15 de agosto desde los servidores oficiales.
El software ha sido modificado de forma muy discreta. Ninguna funcionalidad se ha visto afectada, por lo que los usuarios no han notado ningún problema. Lo que permiten las modificaciones, básicamente, es que el malware se descargue y se ejecute en segundo plano.
Las versiones afectadas se distribuyeron antes del 11 de septiembre. El día 12, se pusieron a disposición actualizaciones (limpias). El problema es que solo la versión de la nube se actualiza automáticamente. La versión convencional debe actualizarse por iniciativa propia del usuario. Este factor causa la mayor preocupación.
Sin embargo, Ondrej Vlcek, CTO de Avast, cree que no hay razón para entrar en pánico. Según el ejecutivo, el incidente es grave, pero las acciones de los atacantes se descubrieron y se detuvieron antes de que se tomara la segunda etapa del ataque, lo que podría conducir a datos de usuario comprometidos.
El «modus operandi» del código malicioso
El análisis realizado por compañías de seguridad, incluido Cisco Talos (el grupo que descubrió e informó el problema ), afirma que el código ingresado de manera incorrecta en CCleaner fue diseñado para recopilar datos como el nombre de la computadora, la lista de software instalado, los procesos en ejecución y las direcciones MAC.
Esta información podría usarse para organizar un ataque mayor, pero Avast afirma que la comunicación con los atacantes se ha interrumpido, por lo que las posibilidades de problemas más graves son escasas.
No todos son tan optimistas. Martijn Grooten, editor de Virus Bulletin , dice que tiene «la sensación de que [Avast] están minimizando esto». En caso de duda, se recomienda que cualquier persona que instaló una de las versiones contaminadas de CCleaner, además de la actualización, realice una verificación de seguridad completa de la computadora.
¿Cómo se llevó a cabo el ataque? Aún no se sabe. Pero no se descarta la posibilidad de participación de los propios empleados de Piriform.
Actualización el 19/09/2017 a las 15:30: en una nota enviada a Tecnoblog, Avast dice que se dio cuenta del problema el 12 de septiembre, antes de la notificación dada por Cisco Talos dos días después. La compañía también afirma que comenzó una investigación de inmediato y que, siguiendo la ley de los Estados Unidos, solo hizo público el evento después de mitigar las acciones de los atacantes.
Con información: Reuters , The Next Web , Forbes
Contenido Relacionado
NANO Antivirus: Software antivirus ligero, rápido y gratuito para Windows
Infrarrojos en Windows 10
Microsoft abre el código fuente de la calculadora de Windows
Cómo usar Quick Parts para pegar texto de Microsoft Word a Outlook
Microsoft dice que Andromeda es una superficie plegable de documentos filtrados