CCleaner compromès: comproveu millor el vostre PC
- Categoria: Seguretat
Piriform, fabricants del popular netejador de fitxers CCleaner, van confirmar el dilluns 18 de 2017 que els pirates informàtics van aconseguir atacar amb èxit la xarxa informàtica de l’empresa.
Els pirates informàtics van comprometre dues versions del CCleaner en l'atac, que han estat utilitzades fins a un 3% de la base d'usuaris de la companyia.
Les versions afectades són CCleaner 5.33.6162 i CCleaner Cloud 1.07.3191. Segons Piriform, només les versions de 32 bits de les aplicacions es van veure compromeses i distribuïdes mitjançant la infraestructura de la companyia.
La companyia demana als usuaris que actualitzin la seva versió del programa amb l'última versió disponible si això no s'ha fet ja. L'última versió de llançament de CCleaner és la versió 5.34 en el moment d'escriure.
- CCleaner 5.33.6162 es va publicar el 15 d'agost de 2017 i es va publicar una versió actualitzada sense compromís el 12 de setembre de 2017.
- CCleaner Cloud 1.07.3191 es va publicar el 24 d'agost de 2017 i una versió no compromesa del programa el 15 de setembre de 2017.
Investigadors en seguretat del grup Talos de Cisco revelat detalls sobre l'atac de la cadena de subministrament amb èxit Talos Group va informar Avast, empresa matriu de Piriform, sobre la situació.
El Grup Talos va identificar un executable específic durant les proves de la nova eina de detecció d'explotacions de la companyia procedent de l'instal·lador CCleaner 5.33, que al seu torn va ser lliurat per legítims servidors de descàrrega CCleaner.
L'executable de descàrrega es va signar amb una signatura Piriform vàlida. L’instal·lador contenia una «càrrega útil maliciosa que presentava un algoritme de generació de dominis» i una funcionalitat de control i comandament de codi dur.
Els investigadors de Talos van concloure que la càrrega útil maliciosa es va distribuir entre el llançament de la versió 5.33 el 15 d'agost de 2017 i el llançament de la versió 5.34 el 12 de setembre de 2017.
Els investigadors creuen que és probable que 'un atacant extern comprometi una part' del desenvolupament o entorn de desenvolupament de Piriform i utilitzés l'accés per inserir el programari maliciós a la versió CCleaner. Una altra opció que consideren els investigadors és que un privilegiat incloïa el codi maliciós.
Els usuaris de CCleaner que vulguin assegurar-se que la versió compromesa no es troba encara al seu sistema pot voler escanejar-la Virustotal o bé escanegeu-lo amb ClamAV, ja que és l’únic programari antivirus que detecta l’amenaça ara mateix.
Podeu descarregar-vos gratuïtament ClamAV des d’aquest lloc web.
La càrrega útil maliciosa crea la clau de registre HKLM SOFTWARE Piriform Agomo: la fa servir per emmagatzemar informació.
Piriform emès una declaració el 18 de setembre de 2017. Segons aquesta afirmació, es pot haver transmès dades no sensibles a un servidor dels Estats Units d'Amèrica.
El compromís podria provocar la transmissió de dades no sensibles (nom de l’ordinador, adreça IP, llista del programari instal·lat, llista del programari actiu, llista d’adaptadors de xarxa) a un servidor informàtic de tercers EUA. No tenim indicis que s'hagi enviat cap altra informació al servidor.
Paul Yung, el VP de productes de l'empresa, publicat una avaluació tècnica de l'atac al bloc de l'empresa també.
L’únic suggeriment que té Piriform és actualitzar-se a la versió més recent.
Paraules clausura
Les versions compromeses de CCleaner i CCleaner Cloud es van distribuir durant gairebé un mes. Amb més de 20 milions de descàrregues al mes i les actualitzacions, és a dir un nombre elevat d’ordinadors que s’han vist afectats.