Meio Bit » Arquivo » Segurança » Milhões foram afetados por versões oficiais do CCleaner alteradas por hackers

Milhões foram afetados por versões oficiais do CCleaner alteradas por hackers

Papelão: versões para Windows do CCleaner e CCleaner Cloud foram infectadas por hackers nos servidores oficiais, e distribuidas para milhões de usuários sem que a Piriform ou a Avast percebessem.

6 anos e meio atrás

broom

O CCleaner é um software dos mais utilizados entre usuários principalmente de Windows, por oferecer ferramentas de uso simples para a limpeza do registro do sistema operacional, remoção de softwares indesejados e outras sujeiras. Só que hackers conseguiram injetar códigos maliciosos diretamente em duas versões oficiais dos programas da Piriform, que continuaram sendo distribuídos sem que ninguém se desse conta.

O ataque teve como alvo a versão 5.33.6162 do CCleaner (32 bits) e o CCleaner Cloud 1.07.3191, que foram baixados 2,27 milhões 5 mil vezes respectivamente segundo dados oficiais. Os hackers conseguiram de uma maneira não esclarecida até o momento (já chegaremos lá) adentrar os servidores da Piriform, injetar malwares em ambos e esperar que os usuários os baixassem. O grande problema é que diferente do CCleaner Cloud, que possui função de update pela nuvem o software tradicional precisa ser atualizado na unha, através do download do instalador no site da Piriform ou de seus associados. Por isso a discrepância no número de acessos entre os dois.

A distribuição dos softwares comprometidos se deu entre os dias 15 de agosto e 12 de setembro, quando novas versões dos softwares sem os malwares foram disponibilizadas. O mais curioso nessa história é que a Piriform foi comprada pela Avast em junho, e um ano atrás ela também adquiriu a concorrente AVG. No entanto mesmo a empresa de segurança não notou a falha no CCleaner, que continuou sendo distribuído com o bug embutido.

ccleaner

Analistas apontam que o malware (identificado no registro do Windows como o cavalo-de-troia Trojan.Nyetya) pode não só coletar dados do computador infectado como softwares instalados, processos em execução e endereço MAC da máquina como é possível que ele tenha deixado uma backdoor aberta, com rootkits de mais difícil detecção.

O problema é que a Avast entrou em modo Panos Quentes: o CTO Ondrej Vlcek diz apesar da falha ser séria, danos maiores não foram causados e que o acesso à brecha foi bloqueado pela companhia antes da ativação do segundo estágio, em que os dados dos usuários poderiam de fato ser comprometidos. No entanto a falha esteve no ar por quase um mês, sem que ninguém tivesse dado conta e se algum dano foi cometido nesse meio tempo, ou a Avast não sabe ou sabe e não quer divulgar. Além disso, a natureza do ataque (infecção de softwares originais diretamente no servidor da empresa) dá a impressão de que alguém de dentro facilitou a entrada dos hackers, e a empresa estaria tentando ocultar a real extensão do estrago.

Se você utilizou uma das versões comprometidas do CCleaner ou CCleaner Cloud, convém rodar uma verificação total em seu sistema de modo a remover o software indesejado; utilizando o Editor de Registro (comando regedit) você deve navegar para HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\ e localizar a pasta intrusa “Agomo”. No mais, atualizar ambos os softwares para as versões mais recentes é essencial.

Fonte: Reuters.

relacionados


Comentários