Las versiones de la popular utilidad CCleaner estaban disponibles para su descarga desde el sitio web del desarrollador y en servidores durante casi un mes, según han descubierto investigadores de Cisco Talos.

Todavía no se sabe cómo ocurrió la forma en que comprometieron la aplicación. Piriform, la compañía que desarrolla CCleaner y que ha sido adquirida recientemente por el fabricante AV Avast, ha confirmado que la versión de 32 bits de la v5.33.6162 de CCleaner y la v1.07.3191 de CCleaner Cloud se vieron afectadas.

"Piriform CCleaner v5.33.6162 fue lanzado el 15 de agosto, y una actualización programada regularmente a CCleaner, sin código comprometido, fue lanzada el 12 de septiembre. CCleaner Cloud v1.07.3191 fue lanzado el 24 de agosto, y actualizado con una versión sin código comprometido el 15 de septiembre ", dijo la compañía.

Ellos estiman que hasta el 3% de sus usuarios usaron las dos versiones comprometidas del software, pero no mencionaron números reales. Un comunicado de prensa de noviembre de 2016 pone el número de descargas de CCleaner en 2 mil millones, pero incluye todas las versiones del software (PC, Mac y Android, gratuito y de pago).

Piriform cuenta con más de 5 millones de instalaciones semanales de escritorio CCleaner. "Si incluso una pequeña fracción de esos sistemas estaban comprometidos, un atacante podría utilizarlos para cualquier número de propósitos maliciosos", observaron los investigadores de Cisco.

El descubrimiento

Una instancia de una versión de CCleaner maliciosa ha sido marcada primero por Cisco, mientras que la beta de los clientes prueban su nueva tecnología de detección de exploits.

El ejecutable mencionado fue firmado con un certificado digital válido emitido por Piriform, pero vino con una carga adicional.

Paul Yung, vicepresidente de Productos de Piriform, explicó que era "una puerta trasera de dos etapas capaz de ejecutar código recibido desde una dirección IP remota en los sistemas afectados".

Utilizando la puerta trasera también se recopiló información sobre los sistemas vulnerados (nombre de la computadora, su dirección IP, lista de software instalado, lista de procesos en ejecución, etc.) y que envió, de forma cifrada, a un servidor remoto ubicado en los Estados Unidos.

"No tenemos indicaciones de que se haya enviado ningún otro dato al servidor. Trabajando con los equipos de seguridad estadounidenses, ayudamos a que este servidor se cerrara el 15 de septiembre antes de que se hiciera cualquier daño conocido ", declaró la compañía.

¿Ahora qué?

Piriform y Avast continúan la investigación para descubrir cómo ocurrió este incidente, quién lo hizo y el objetivo final de los hackers.

Mientras tanto, ya han hecho que los sitios de descarga eliminen CCleaner v5.33.6162, enviaron una notificación para actualizar la aplicación CCleaner de los usuarios de la versión v5.33.6162 a la v5.34 y actualizaron automáticamente la aplicación de CCleaner Cloud desde la versión v1.07.3191 a la 1.07.3214.

No lo dijeron, pero es probable que hayan usado un nuevo certificado digital para firmar estas últimas versiones.

Como señalaron los investigadores de Cisco: "La presencia de una firma digital válida en el binario malicioso de CCleaner puede ser indicativa de un problema mayor que resultó en partes del desarrollo o el proceso de firmado fuera comprometido. Lo ideal sería que este certificado se revocara y no fuera de confianza en adelante. Cuando se genera un certificado nuevo, se debe tener cuidado para asegurar que los atacantes no tienen un punto de apoyo dentro del entorno con el que comprometer el nuevo certificado. Solo el proceso de respuesta a incidentes puede proporcionar detalles sobre el alcance de este problema y cómo abordarlo mejor ".

Yung señaló que a pesar de que la carga útil de la segunda etapa fue recibida por los objetivos después de que la información fue enviada, "no han detectado una ejecución de la carga útil de la segunda etapa y creen que su activación es altamente improbable".

La detección de antivirus para la amenaza es extremadamente baja, por lo que incluso si ha descargado e instalado una de las versiones de CCleaner afectadas o se ha actualizado a ellos, es probable que su equipo haya sido restaurado.

"Los sistemas afectados necesitan ser restaurados a un estado antes del 15 de agosto de 2017 o reinstalados. Los usuarios también deben actualizar a la última versión disponible de CCleaner para evitar la infección ", aconseja Cisco.

Los ataques de cadena de suministro son una forma muy eficaz de distribuir software malicioso, como hemos presenciado en el ataque NotPetya: el ransomware/wiper se rastreó a los servidores vulnerados del fabricante de software ucraniano MeDoc. Desafortunadamente, los usuarios finales no pueden hacer mucho en esta parte, los desarrolladores tienen que mantener sus servidores seguros y limpios.

ACTUALIZACIÓN: Piriform estima que el número de personas que usaron el software afectado es de alrededor de 2,27 millones.