Una de las aplicaciones más completas para limpiar y llevar a cabo las tareas de mantenimiento básicas en un sistema operativo Windows es CCleaner.

En el día de ayer 18 de Septiembre, la empresa de seguridad Talos, de Cisco, ha publicado un informe sobre una versión de CCleaner comprometida que está siendo utilizada por delincuentes para distribuir el malware Nyetya entre los usuarios que confían en CCleaner.

Las desarrolladoras de software normalmente suelen firmar digitalmente sus aplicaciones de manera que los usuarios finales puedan saber que están utilizando una aplicación legítima. Por diversas causas, sin embargo, puede ser posible que estas firmas caigan en manos de delincuentes, quienes las utilizan para firmar malware y hacerlo pasar por un software legítimo, como acaba de ocurrir con CCleaner el limpiador y optimizador de sistemas Windows por excelencia.

El 15 Agosto pasado ocurrió el ataque, afectando a nivel global a 2,27 millones de equipos, y el cual estaba dirigido a los servidores de la empresa de seguridad informática Avast (propietaria de CCleaner) y el mismo fue descubierto el 12 de Septiembre de este mes por investigadores de Cisco Talos, que publicaron un reporte técnico del incidente en el día de ayer.

Los expertos de Talos durante las pruebas de un nuevo software para la mitigación de exploits, detectaron una serie de avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33.6162 (32bit). Sin levantar sospechas durante bastante tiempo esta versión maliciosa ha estado llegando a los usuarios a través de los servidores de descarga legítimos y aunque la versión de CCleaner es legítima, en el propio instalador es donde se oculta la sorpresa.

Aunque hasta el momento no se han facilitado demasiados detalles sobre cómo ha sido posible suplantar la firma del instalador legítimo de CCleaner, curiosamente este software utiliza una de las firmas inseguras de Symantec, de las que se lleva hablando ya hace algún tiempo. Aunque lo más probable es que los delincuentes hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los delincuentes podrían haber suplantado otras aplicaciones sin ni siquiera darse cuenta de ello los usuarios.

Cuando los expertos de seguridad de Talos analizaron el instalador legítimo de CCleaner versión 5.33.6162, que se podía descargar desde los servidores de la compañía, pudieron encontrar que, además de la descargar de este software, el propio instalador descargaba una carga útil (payload) del tipo “Domain Generation Algorithm“, entre otras cosas, en esta carga útil, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.

También estaba comprometida por este malware la versión CCleaner Cloud v1.07.319, como ocurrió con la versión CCleaner v5.33.6162, estas dos versiones fueron lanzadas el pasado mes de Agosto y todos los usuarios que puedan haber descargado cualquiera de estas dos aplicaciones entre el 15 de Agosto y el 12 de Septiembre estarían infectados por este malware.

Los expertos de seguridad aseguran que el pasado 15 de Septiembre los servidores de control ya fueron cerrados, por lo que la amenaza está, más o menos, controlada. De todas formas, se recomienda a los usuarios de CCleaner actualizar cuanto antes a la última versión, la 5.34, la cual ha eliminado ya este malware y vuelve a ser, por el momento aparentemente, segura. También los usuarios de CCleaner Cloud v1.07.3191, se deben actualizar automáticamente a la última versión la 1.07.3214 si su programa no lo ha hecho todavía, lo antes posible haga clic en el link de buscar actualizaciones que al igual que la versión estándar ha eliminado el malware y por lo tanto es segura.

Además, los usuarios que hayan tenido instaladas estas versiones de CCleaner comprometidas con el malware Nyetya y todavía no ha cifrado sus archivos utilicé MalwareBytes Antimalware para eliminar la amenaza.

Fuente: Segu Info

 

Anuncios