O CCleaner é um aplicativo utilizado por diversas pessoas para eliminar rastros de arquivos que foram apagados e realizar algumas outras ações com o intuito de otimizar o computador. Ele já foi baixado mais de dois bilhões de vezes, mas nem todos que estão nesse grupo podem comemorar o fato de terem instalado o software em suas máquinas.
Em uma mensagem divulgada pelos especialistas de segurança da Cisco Talos, foi mencionado que hackers conseguiram infectar o software com um malware responsável por afetar 2,27 milhões de usuários do CCleaner. Tal vulnerabilidade foi encontrada na versão 5.53 e confirmada pela Avast, empresa detentora da Piriform (que, por sua vez, é responsável pelo aplicativo em questão).
Códigos mostrando uma versão limpa e a versão infectada do CCleaner
Também houve a menção de que essa versão infectada ficou disponível de 15 de agosto e 12 de setembro, sendo que na última quinta-feira (15) os usuários tiveram acesso a uma edição “limpa”, sem a presença dos arquivos maliciosos.
Mesmo com as infecções (que não foram baixas, diga-se de passagem), foi dito que não há nenhuma evidência de que essa falha realmente tenha instalado algum tipo de arquivo malicioso, ransomware ou keylogger no computador daqueles que acabaram utilizando o CCleaner 5.53.
E o que aconteceu exatamente?
Ainda que não existam registros da instalação de softwares maliciosos, o malware estava programado para coletar diversos dados dos usuários, entre eles o nome do computador, a lista de softwares presentes na máquina (incluindo aqui as atualizações do Windows), lista dos processos, dados de quando algum programa está rodando com a autorização do administrador e outros.
“Nesse momento, não queremos especular como esse código não autorizado apareceu no software do CCleaner, de onde o ataque se originou, por quanto tempo ele foi preparado e quem está por trás disso. A investigação ainda está em andamento”, comentou Paul Yung, vice-presidente de produtos da Piriform.
O malware estava programado para coletar diversos dados dos usuários
O executivo também comentou que foi adicionado um “backdoor de dois passos” no código de inicialização da aplicação que normalmente é inserido “durante a compilação pelo compilador”. De acordo com os especialistas da Cisco Talos, esse programa era capaz de baixar e executar códigos maliciosos e executar um algoritmo gerador de nomes de domínios para encontrar servidores de comando e controle. Com isso, os hackers poderiam prever o nome do domínio que o malware tentar contatar em uma data e registrá-lo com antecedência para enviar os comandos.
Em todo caso, Ondrej Vlcek, chefe do setor técnico da Avast, mencionou ao site da Forbes que “2,27 milhões de downloads” certamente é um número grande, mas que baseado no conhecimento do time não há nenhuma razão para criar pânico.
Posicionamento da empresa
A Cisco possui um grande número de downloads do CCleaner, o que é irrelevante. Independentemente do histórico do número de downloads do CCleaner, o número inicial de usuários que usaram o software afetado por esse incidente foi de 2,27 milhões. E, devido à nossa ação imediata para atualizar a nossa base de usuários, agora, apenas 730 mil permanecem na versão 5.33.6162. O incidente afetou apenas usuários desta versão (5.33.6162) instalada na versão Windows de 32 bits. Esses usuários estão seguros agora, pois a nossa investigação indica que conseguimos desarmar a ameaça antes que ela pudesse causar qualquer dano.
A Cisco afirma que é preciso restaurar o sistema para remover a ameaça. Isso está incorreto. A atualização para o CCleaner 5.34 remove o malware (o qual não pode mais prejudicar o usuário), porque o servidor foi desligado pela Avast. No caso do CCleaner Cloud, o software foi atualizado automaticamente. Para os usuários do CCleaner para desktop, recomendamos baixar e instalar a versão mais recente do software.
O blog da Cisco afirma que eles foram a fonte de identificação da ameaça. Isso também está incorreto. A Cisco não foi a fonte de informações sobre essa ameaça. Nós sabíamos desta ameaça quando nos contataram no dia 14 de setembro e já tínhamos agido para detê-la. A Avast soube sobre o incidente em 12 de setembro, quando imediatamente deu início a um processo de investigação. Também aplicou as devidas leis americanas, para resolver a questão. A pedido das autoridades responsáveis ??pela execução das leis nos EUA, apenas pode tornar pública a referida violação até que tivesse sucesso em derrubar o servidor.
Categorias