Dentro de las aplicaciones más utilizadas a nivel mundial para la limpieza y optimización de Windows está CCleaner, hasta hace poco perteneciente a Piriform, la cual fue adquirida por la compañía de seguridad Avast con el objetivo de integrarla en sus soluciones Antivirus.
Desde la empresa de seguridad Talos, de Cisco, acaba de hacer público un informe en el que señala a una serie de versiones de CCleaner comprometidas que están siendo utilizadas por piratas informáticos para distribuir malware entre los usuarios que en ella confían, las cuales fueron corroboradas por sus investigadores de seguridad al ejecutar pruebas de un nuevo software anti-exploits, en las cuales detectaron varios avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33, lo más preocupante en este caso es que estas versiones comprometidas de CCleaner han llegado a través de descarga legítimas o sea desde los propios servidores de Avast sin que sus usuarios lo hayan sospechado, pues aunque la versión de CCleaner es legítima, es el propio instalador de CCleaner quien oculta el malware.
Se conoció además que el malware ha sido insertado en el instalador original de CCleaner mediante la suplantación de la firma del instalador ya que el software utiliza una de las firmas inseguras de Symantec, previamente anunciadas hace algún tiempo y que lo más probable es que los piratas informáticos hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los piratas podrían haber suplantado otras aplicaciones sin que nos diéramos cuenta.
No muy grata la sorpresa de los expertos de seguridad de Talos, quien al realizar las pruebas de CCleaner detectaron que el mismo oculta un payload utilizado para distribuir malware, los test fueron realizados sobre el instalador original de CCleaner descargado desde los propios servidores de Avast!, detectando que además del limpiador de Windows, el programa descargaba un payload del tipo “Domain Generation Algorithm“, el cual contenía las instrucciones necesarias para conectarse a un servidor C&C y desde allí recibir órdenes.
En consecuencia, resultaron comprometidas las versiones de CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, por lo cual todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre los días 15 de agosto y el 12 de septiembre pueden darse por seguro que están infectados por el malware.
Los expertos en seguridad de Talos aseguran que la amenaza está aparentemente controlada pues los servidores de control fueron cerrados el pasado 15 de septiembre, pero recomienda actualizar cuanto antes a la última versión, CCleaner 5.34.6702, en la cual se ha eliminado el malware.
En cuanto a la eliminación del exploit, si contamos con alguna solución de seguridad robusta instalada en nuestros equipos, ya sea Kaspersky Internet Security, ESET Smart Security, G DATA Internet Security entre otras, ya deberían haber actualizado automáticamente sus bases de datos, detectando y eliminando la amenaza, que en estos momentos es inofensiva.
Con Información de: RedesZone
