CCleaner comprometido: melhor verificar seu PC
- Categoria: Segurança
A Piriform, fabricante do popular limpador de arquivos CCleaner, confirmou na segunda-feira, 18 de 2017, que os hackers conseguiram atacar a rede de computadores da empresa com sucesso.
Os hackers comprometeram duas versões do CCleaner no ataque que foram utilizadas por até 3% da base de usuários da empresa.
As versões afetadas são CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191. De acordo com a Piriform, apenas as versões 32 bits dos aplicativos foram comprometidas e distribuídas usando a própria infraestrutura da empresa.
A empresa pede aos usuários que atualizem sua versão do programa para a versão mais recente disponível, caso ainda não tenha sido feito. A última versão de lançamento do CCleaner é a versão 5.34 no momento da escrita.
- CCleaner 5.33.6162 foi lançado em 15 de agosto de 2017, e uma versão atualizada não comprometida foi lançada em 12 de setembro de 2017.
- CCleaner Cloud 1.07.3191 foi lançado em 24 de agosto de 2017, e uma versão não comprometida do programa em 15 de setembro de 2017.
Pesquisadores de segurança do Grupo Talos da Cisco revelado detalhes sobre o ataque bem-sucedido à cadeia de suprimentos. O Talos Group informou a Avast, a empresa-mãe da Piriform, sobre a situação.
O Talos Group 'identificou um executável específico' durante os testes da nova ferramenta de detecção de exploit da empresa que veio do instalador CCleaner 5.33 que, por sua vez, foi entregue por servidores de download CCleaner legítimos.
O executável para download foi assinado com uma assinatura Piriform válida. O instalador continha uma 'carga útil maliciosa que apresentava um Algoritmo de Geração de Domínio', bem como uma funcionalidade de 'Comando e Controle codificado'.
Os pesquisadores do Talos concluíram que a carga maliciosa foi distribuída entre o lançamento da versão 5.33 em 15 de agosto de 2017 e o lançamento da versão 5.34 em 12 de setembro de 2017.
Os pesquisadores acreditam que é provável que 'um invasor externo tenha comprometido uma parte' do ambiente de desenvolvimento ou compilação do Piriform e use o acesso para inserir o malware na compilação do CCleaner. Outra opção que os pesquisadores consideram é que um insider incluiu o código malicioso.
Os usuários do CCleaner que desejam ter certeza de que a versão comprometida ainda não está em seus sistemas podem fazer uma varredura Virustotal ou faça uma varredura com o ClamAV, pois é o único software antivírus que detecta a ameaça no momento.
Você pode baixar o gratuito ClamAV deste site.
A carga maliciosa cria a chave do Registro HKLM SOFTWARE Piriform Agomo: e a usa para armazenar várias informações.
Piriforme emitido uma declaração em 18 de setembro de 2017. De acordo com essa declaração, dados não confidenciais podem ter sido transmitidos a um servidor nos Estados Unidos da América.
O comprometimento pode causar a transmissão de dados não confidenciais (nome do computador, endereço IP, lista de software instalado, lista de software ativo, lista de adaptadores de rede) para um servidor de computador de terceiros nos EUA. Não temos nenhuma indicação de que quaisquer outros dados tenham sido enviados ao servidor.
Paul Yung, vice-presidente de produtos da empresa, Publicados uma avaliação técnica do ataque ao blog da empresa também.
A única sugestão que o Piriform tem é atualizar para a versão mais recente.
Palavras de Encerramento
As versões comprometidas do CCleaner e CCleaner Cloud foram distribuídas por quase um mês. Com mais de 20 milhões de downloads por mês, e as atualizações, é um grande número de PCs que foram afetados por isso.