Piriform, responsables del popular limpiador de archivos CCleaner, ha confirmado hoy lunes 18 de octubre de 2017 que los hackers lograron atacar la red informática de la compañía con éxito.

Los hackers comprometieron dos versiones del CCleaner en el ataque, que han logrado comprometer el 3% de la base de datos de usuarios de la empresa.

Las versiones afectadas son CCleaner 5.33.6162 y CCleaner Cloud 1.07.3191. Según Piriform, sólo las versiones de 32 bits de las aplicaciones se vieron comprometidas y distribuidas utilizando la infraestructura propia de la empresa.

La compañía pide a los usuarios que actualicen su versión del programa a la última versión disponible si no lo han hecho ya. La versión más reciente de CCleaner en el momento de la publicación es la versión 5.34.

  • CCleaner 5.33.6162 fue lanzado el 15 de agosto de 2017, y una versión actualizada no comprometida ha sido lanzada el 12 de septiembre de 2017.
  • CCleaner Cloud 1.07.3191 fue lanzado el 24 de agosto de 2017, y una versión no comprometida del programa el 15 de septiembre de 2017.

Los investigadores de seguridad del Grupo Talos de Cisco revelaron detalles sobre el exitoso ataque a la cadena de distribución de la aplicación. Talos Group informó a Avast, la empresa matriz de Piriform, sobre la situación.

Talos Group “identificó un ejecutable específico” durante las pruebas de la nueva herramienta de detección de exploits de la compañía que provenía del instalador de CCleaner 5.33 que a su vez fue entregado por servidores de descarga CCleaner legítimos.

El ejecutable de descarga se firmó con una firma Piriform válida. El instalador contenía una “carga útil malintencionada que incluía un Algoritmo de Generación de Dominio” así como una funcionalidad de “Comando y Control codificados”.

Los investigadores de Talos concluyeron que la carga útil maliciosa se distribuyó entre el lanzamiento de la versión 5.33 el 15 de agosto de 2017 y el lanzamiento de la versión 5.34 el 12 de septiembre de 2017.

Los investigadores piensan que es probable que “un atacante externo haya comprometido una parte” del entorno de desarrollo o construcción de Piriform, y utilizó el acceso para insertar el malware en la compilación de CCleaner. Otra opción que los investigadores consideran es que un iniciado incluyó el código malicioso.

Los usuarios de CCleaner que quieren asegurarse de que la versión comprometida no está todavía en su sistema, pueden querer escanearla en Virustotal o escanearla con ClamAV, ya que es el único software antivirus que detecta la amenaza en este momento. Puede descargar el ClamAV gratis de este sitio web.

La carga útil maliciosa crea la clave del Registro HKLM \ SOFTWARE \ Piriform \ Agomo: y la usa para almacenar información variada.

Piriform emitió una declaración el 18 de septiembre de 2017. De acuerdo con esa declaración, los datos no confidenciales pueden haber sido transmitidos a un servidor en los Estados Unidos de América.

El compromiso podría causar la transmisión de datos no sensibles (nombre del equipo, dirección IP, lista de software instalado, lista de software activo, lista de adaptadores de red) a un servidor de terceros en Estados Unidos. No tenemos indicaciones de que se haya enviado ningún otro dato al servidor.

Paul Yung, vicepresidente de productos de la compañía, publicó también una evaluación técnica del ataque en el blog de la compañía.

La única sugerencia que Piriform tiene es actualizar a la versión más reciente.