La empresa de
seguridad Talos, de Cisco, acaba de publicar un informe en el que informa de
una serie de versiones de Ccleaner comprometidas que están siendo utilizadas
por piratas informáticos para distribuir malware entre los usuarios que confían
en ellas.
Durante las pruebas de un nuevo
software para la mitigación de exploits, los expertos de Talos detectaron una
serie de avisos inesperados en el instalador legítimo de Ccleaner,
concretamente en la versión 5.33. Estas versiones maliciosas han estado
llegando a los usuarios a través de los servidores de descarga legítimos sin
levantar sospechas durante bastante tiempo y, aunque la versión de Ccleaner es
legítima, el propio instalador es quién oculta la sorpresa.
Ccleaner
desactualizado
Aunque no se han facilitado demasiados
detalles sobre cómo ha sido posible suplantar la firma del instalador de
Ccleaner, curiosamente este software utiliza una de las firmas inseguras de
Symantec, de las que llevamos hablando ya algún tiempo. Aunque lo más probable
es que los piratas informáticos hayan robado la firma, no se descarta que también
hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual
sería mucho más peligroso de cara a que los piratas podrían haber suplantado
otras aplicaciones sin nisiquiera darnos cuenta de ello.
El instalador de
Ccleaner oculta un payload utilizado para distribuir malware
Cuando los expertos de seguridad de
Talos analizaron el instalador de Ccleaner, que se había descargado desde los
servidores de la compañía, pudieron encontrar que, además de descargar este
limpiador de Windows, el propio instalador descargaba un payload del tipo
“Domain Generation Algorithm“, payload que, entre otras cosas, contenía las
instrucciones necesarias para conectarse a un servidor C&C desde el que
recibir órdenes.
Tanto CCleaner v5.33.6162 como
CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto,
estaban comprometidas por este malware, y todos los usuarios que hayan
descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12
de septiembre están infectados por este malware.
Los expertos de seguridad aseguran que
los servidores de control ya fueron cerrados el pasado 15 de septiembre, por lo
que la amenaza está, más o menos, controlada. De todas formas, se recomienda
actualizar cuanto antes a la última versión, Ccleaner 5.34, la cual ha
eliminado ya este malware y vuelve a ser, aparentemente, segura.
En cuanto a la eliminación del
exploit, es solo cuestión de tiempo que nuestras aplicaciones de seguridad
actualicen sus bases de datos, detecten y eliminen la amenaza, que, ahora mismo,
es inofensiva.
Fuente: Talos
