18 sept 2017

CCleaner 5.33 comprometido y con malware (Actualiza!)

Ccleaner es una de las aplicaciones más completas para limpiar nuestro Windows y llevar a cabo las tareas de mantenimiento básicas. Hace escasos minutos, la empresa de seguridad Talos, de Cisco, acaba de publicar un informe en el que informa de una de las versiones de CCleaner comprometidas que están siendo utilizadas por delincuentes para distribuir el malware Nyetya entre los usuarios que confían en ellas.

Normalmente, las desarrolladoras suelen firmar digitalmente sus aplicaciones de manera que los usuarios finales puedan saber que están utilizando una aplicación legítima. Sin embargo, por diversas causas, puede que estas firmas caigan en manos de delincuentes, quienes las utilizan para firmar malware y hacerlo pasar por software legítimo, como acaba de ocurrir con este limpiador y optimizador de Windows.

El ataque, que ocurrió el 15 agosto y afectó a nivel global a 2,27 millones de equipos, se dirigió a los servidores de la empresa de seguridad informática Avast (propietaria de CCleaner) y fue descubierto el 12 de septiembre por investigadores de Cisco Talos, que hoy publicaron un reporte técnico del incidente.

Durante las pruebas de un nuevo software para la mitigación de exploits, los expertos de Talos detectaron una serie de avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33. Estas versiones maliciosas han estado llegando a los usuarios a través de los servidores de descarga legítimos sin levantar sospechas durante bastante tiempo y, aunque la versión de CCleaner es legítima, el propio instalador es quién oculta la sorpresa.
Ccleaner desactualizado
Aunque no se han facilitado demasiados detalles sobre cómo ha sido posible suplantar la firma del instalador de CCleaner, curiosamente este software utiliza una de las firmas inseguras de Symantec, de las que llevamos hablando ya algún tiempo. Aunque lo más probable es que los delincuentes hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los delincuentes podrían haber suplantado otras aplicaciones sin nisiquiera darnos cuenta de ello.

Cuando los expertos de seguridad de Talos analizaron el instalador de CCleaner, que se había descargado desde los servidores de la compañía, pudieron encontrar que, además de descargar este limpiador de Windows, el propio instalador descargaba un payload del tipo “Domain Generation Algorithm“, payload que, entre otras cosas, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.

Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, estaban comprometidas por este malware, y todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12 de septiembre están infectados por este malware.

Los expertos de seguridad aseguran que los servidores de control ya fueron cerrados el pasado 15 de septiembre, por lo que la amenaza está, más o menos, controlada. De todas formas, se recomienda actualizar cuanto antes a la última versión, CCleaner 5.34, la cual ha eliminado ya este malware y vuelve a ser, aparentemente, segura.

Kaspersky Lab ha señalado que el autor de la puerta trasera y el payload sería un experto grupo de hackers chino llamado Axiom, que también habría actuado bajo nombres como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx y AuroraPanda. Esa es la conclusión a la que ha llegado tras encontrar en el malware distribuido mediante CCleaner código utilizado por el mencionado grupo.

Los investigadores de Cisco han encontrado un fichero de configuración en el servidor de los atacantes que establecía un horario perteneciente a una zona de China. Aunque esto no resulta en sí mismo concluyente para determinar que Axiom estuviera detrás de toda esta operación maliciosa, podría ser interpretado como una evidencia. Por otro lado, han notificado a las compañías afectadas nada más realizar su descubrimiento.

El payload no se elimina actualizando CCleaner

La puerta trasera podía ser eliminada mediante la actualización de la aplicación, pero no se puede decir lo mismo la carga útil, la cual solo puede ser eliminada mediante el uso de un antimalware o bien restaurando imágenes previas del sistema pertenecientes a un algún momento anterior a la instalación de la carga útil.

Fuente: Talos

Suscríbete a nuestro Boletín

3 comentarios:

  1. Respuestas
    1. y....... si dice que solo a las dos versiones mencionadas.... la que estás indicando seguro que no.

      Borrar
  2. Hola y como eliminamos el malware en caso que estemos infectados? Ya se encuentra en las bases de antivirus?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!