El popular software de optimización de recursos CCleaner ha sido infectado para actuar como plataforma para distribuir malware. Así lo ha confirmado la británica Piriform, compañía desarrolladora de la utilidad y a su vez filial del antivirus checo Avast. El descubrimiento fue realizado por investigadores de Cisco Talos, que observaron un comportamiento anómalo en la versión 5.33 de CCleaner, lanzada en agosto. Bajo su apariencia inocua, el programa incluye herramientas de administración remota que intentan conectarse a varias páginas web no registradas.

De acuerdo con Cisco Talos, CCleaner 5.33 fue infectado con el malware Floxif, que recopila información de usuario y la envía a los servidores del atacante. Para ello el atacante habría logado acceder a la cadena de suministro de Avast y sustituir el certificado digital de CCleaner por uno propio con el troyano. Los primeros datos hacen pensar que decenas de miles de usuarios de CCleaner han sido infectados por Floxif. La versión 1.07.3191 de CCleaner Cloud también está afectada.

Las personas que tengan instalado CCleaner en sus equipos deben actualizar el software a la última versión para evitar posibles problemas, aunque parece ser que todos los servidores utilizados por el atacante han sido desactivados o se encuentran fuera de su control después de alertar a las autoridades.

Por el momento se desconoce si este suceso ha sido posible gracias a la colaboración de un empleado de Piriform o si por el contrario (y como parece más probable) el atacante aprovechó una vulnerabilidad oculta en sus sistemas. Sea como sea, Avast tiene ahora toda una patata caliente entre sus manos si se considera que su nombre figura en uno de los antivirus más conocidos del mundo.

El uso de herramientas de optimización como medio para la distribución de malware es tan antiguo como extendido, con infinidad de programas supuestamente benignos actuando como auténticas bombas de racimo. Lo que no es tan habitual es que los atacantes intenten vulnerar aplicaciones legítimas como CCleaner, añadiendo una capa de incertidumbre y engañando incluso a los usuarios que con buen criterio siguen medidas básicas de seguridad y solo descargan programas genuinos desde sitios oficiales.

Fuente

Justo ayer utilicé CCleaner, pero nada más lanzarlo me dio por actualizarlo. Creo que estaba en una versión anterior a la 5.33 que es la que parece ser la problemática, por lo que diría que me he librado. Vamos, todos los análisis que he pasado me dicen que estoy limpio.

Hace ya bastante tiempo que no se lo paso al PC. Menos mal .

esos programas son en sí malware. Llevo como 5 años sin formatear el pc y sin un antivirus, 0 problemas.

Si usas porno tarde o temprano te entra (el virus me refiero). Sin él, puedes estar toda la vida sin ningún problema.

Yo uso a menudo ccleaner, dejaré de hacerlo una temporada aunque debería formatearlo

La cuestión no es utilizar CCleaner con la monitorización 24/7 sino de muy tarde en tarde para borrar basuras que se quedan en el PC que a lo tonto ocupan un buen pico.

¿Entonces ahora si uso por primera vez el programa no habrá problemas, no? Porque justo casualmente estaba pensando en usarlo por primera vez este mes.

Ya ha salido una nueva versión parcheada

El hackeo de CCleaner apunta a una campaña de ciberespionaje con miras en grandes empresas


Usuarios de todo el mundo se levantaban sobresaltados al descubrir que CCleaner, una de las herramientas de optimización de recursos más populares, había sido hackeada supuestamente para distribuir malware. La buena noticia es que no tienen nada de qué temer. La mala la han recibido empresas tecnológicas de todo el mundo al conocer que este suceso podría haber sido una estratagema utilizada por ciberespías para infectar sus sistemas de forma discreta.

Investigadores de Kaspersky Labs han examinado el código de uno de los servidores utilizados durante el ataque, descubriendo que el hack utiliza código compartido con otros sucesos protagonizados por un grupo chino conocido por el nombre Axiom, pero también por los apodos APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 y AuroraPanda según informa BleepingComputer (el motivo de la variedad de nombres es que cada empresa de seguridad utiliza su propia denominación). Cisco Talos, que descubrió el hack en primer lugar, ha corroborado este descubrimiento.



Si bien el uso de código compartido no permite asegurar que Axiom/APT17 se encuentre detrás de este suceso, Cisco Talos considera relevante el uso de herramientas comunes. De forma más concreta, existen similitudes concretas entre el malware de CCleaner y un troyano llamado Missl utilizado anteriormente por este grupo de ciberespionaje. El servidor intervenido estaba configurado utilizando la franja horaria china.

Google, Microsoft, Intel, Samsung y otros gigantes en el punto de mira

Igual de interesante es el hecho de que CCleaner no llegó a desplegar el malware Floxif tal y como se creía inicialmente. De hecho, nos encontraríamos ante un indicio falso para despistar a los investigadores. La versión hackeada de CCleaner nunca habría llegado a desplegar este malware o realizar descargas sin autorización en los ordenadores de los usuarios. En su lugar, Cisco Talos ha descubierto en su base de datos restos de infección en 20 sistemas pertenecientes a ocho empresas tecnológicas.

Firmas como Intel, Samsung, Sony, HTC, VMWare, O2, Vodafone, Linksys, Akamai, Oracle, Microsoft, Google e incluso la propia Cisco se encontraban en el listado de dominios potencialmente atacados. Es difícil saber cuántas de estas empresas han experimentado una irrupción en sus sistemas atribuible a Axiom/APT17.

Básicamente CCleaner buscó objetivos entre las principales firmas tecnológicas del mundo con dos grandes excepciones geográficas: no hay infecciones en empresas con sede en China ni Rusia.

Cisco Talos fue capaz de encontrar dos tablas en la base de datos del malware, una con 700.000 sistemas y otra con 20. Ambas poseen datos introducidos entre el 12 y el 16 de septiembre. Aparentemente había información anterior, pero habría sido eliminada para "limitar la cantidad de información que podría derivarse del servidor" según ha señalado un empleado de Cisco Talos.

El mayor problema para los administradores de las compañías afectadas es que, aunque el número de sistemas detectado es pequeño, los atacantes pudieron acceder desde estos a cientos de ordenadores distintos. Asimismo, no hay forma de saber cuántos ordenadores llegaron a ser infectados en primer lugar al contar solo con una parte de los registros.

Avast, propietaria de CCleaner, ha corroborado los descubrimientos de Kaspersky y Cisco Talos. Según la firma checa, las 20 máquinas atacadas de las que se tienen constancia estaban situadas en ocho organizaciones distintas, pero el número de sistemas infectados podría ser muy superior. Avast ya se ha puesto en contacto con las empresas afectadas para proporcionarles asistencia técnica y atrapar a los atacantes.

Fuente