Se você baixou ou atualizou o aplicativo CCleaner em seu computador entre 15 de agosto e12 de setembro de 2017 a partir do seu site oficial, então preste atenção – seu computador foi comprometido. CCleaner é uma aplicação popular com mais de 2 bilhões de downloads, criada pela Piriform e recentemente adquirida pela Avast, que permite aos usuários limpar seu sistema para otimizar e aprimorar o desempenho. Pesquisadores de segurança da Cisco Talos descobriram que os servidores de download utilizados pela Avast para permitir que os usuários baixem o aplicativo foram comprometidos por alguns crackers desconhecidos, que substituíram aversão original do software pelo malicioso e distribuíram isso para milhões de usuários porcerca de um mês.
Este incidente é mais um exemplo de ataque da cadeia de suprimentos. No início deste ano, os servidores de atualização de uma empresa ucraniana chamada MeDoc também foram comprometidos da mesma forma para distribuir o Ransomware Petya, que causou estragos em todo o mundo.
Avast e Piriform confirmaram que a versão de 32 bits do CCleaner v5.33.6162 e o CCleaner Cloud v1.07.3191 foram afetados pelo malware. Detectado em 13 de setembro, a versão maliciosa do CCleaner contém uma carga útil de malware de vários estágios que rouba dados de computadores infectados e o envia para servidores de comando e controle remotos do invasor.
Além disso, os crackers desconhecidos assinaram o executável de instalação malicioso (v5.33) usando uma assinatura digital válida emitida para a Piriform pela Symantec e o Algoritmo de geração de domínio (DGA), de modo que, se o servidor dos atacantes fosse para baixo, o DGA poderia gerar novos domínios para receber e enviar informações roubadas.
“Todas as informações coletadas foram criptografadas e codificadas pela base64 com um alfabeto personalizado”, diz Paul Yung, vice-presidente de produtos da Piriform. “A informação codificada foi subsequentemente enviada para um endereço IP externo 216.126.xx (este endereço foi codificado na carga útil, e nós temos ocultado intencionalmente seus dois últimos octetos aqui) através de um pedido HTTPS POST”.
O software mal-intencionado foi programado para coletar um grande número de dados do usuário, incluindo:
– Nome do computador
– Lista de software instalado, incluindo atualizações do Windows
– Lista de todos os processos em execução
– Endereços IP e MAC
Informações adicionais, como se o processo está sendo executado com privilégios de administrador e se é um sistema de 64 bits.
Como remover malware do seu PC
De acordo com os pesquisadores da Talos, cerca de 5 milhões de pessoas baixam CCleaner (ou Crap Cleaner) a cada semana, o que indica que mais de 20 milhões de pessoas poderiam estar infectadas com a versão maliciosa do aplicativo.
“O impacto desse ataque pode ser severo, dado o número extremamente elevado de sistemas possivelmente afetados. A CCleaner afirma ter mais de 2 bilhões de downloads em todo o mundo a partir de novembro de 2016 e, segundo notícias, adicionará novos usuários a uma taxa de 5 milhões por semana”, afirmou Talos.
No entanto, Piriform estimou que até 3% dos usuários (até 2,27 milhões de pessoas) foram afetados pela instalação maliciosa. Os usuários afetados são altamente recomendados para atualizar seu software CCleaner para a versão 5.34 ou superior, para proteger seus computadores de serem comprometidos.
Fonte: The hackers News/CBSI