Clicky

El malware de CCleaner infecta a grandes empresas tecnológicas con una segunda puerta trasera

malware de CCleaner

Quitar la versión maliciosa actualizando CCleaner no ayudaría

El grupo de hackers desconocidos que secuestraron el servidor de descarga de CCleaner para distribuir una versión maliciosa del popular software de optimización del sistema se ha dirigido al menos a 20 empresas internacionales de tecnología con una segunda carga útil.

A principios de esta semana, cuando fue reportado el hackeo a CCleaner, los investigadores aseguraron a los usuarios que no había un malware de segunda etapa usado en el ataque masivo y los usuarios afectados pueden simplemente actualizar su versión para deshacerse del software malicioso.

Sin embargo, durante el análisis del servidor de control y control (C2) de los hackers al que se conectaron las versiones maliciosas de CCleaner, los investigadores de seguridad del Talos Group de Cisco encontraron evidencia de una segunda carga útil (GeeSetup_x86.dll, un módulo de puerta trasera) que fue entregado a una lista específica de equipos basados en nombres de dominio locales.

Empresas de tecnología afectadas

De acuerdo con una lista predefinida mencionada en la configuración del servidor C2, el ataque fue diseñado para encontrar computadoras dentro de las redes de las principales empresas de tecnología y entregar la carga útil secundaria. Las empresas objetivo incluyeron:

•  Google
•  Microsoft
•  Cisco
•  Intel
•  Samsung
•  Sony
•  HTC
•  Linksys
•  D-Link
•  Akamai
•  VMware

En la base de datos, los investigadores encontraron una lista de cerca de 700.000 máquinas backdoored infectadas con la versión maliciosa de CCleaner, es decir, la primera carga útil, y una lista de al menos 20 máquinas que fueron infectadas con la carga secundaria para obtener en esos sistemas una posición más profunda.

Los hackers de CCleaner eligieron específicamente estas 20 máquinas basándose en su nombre de dominio, dirección IP y nombre de host. Los investigadores creen que el malware secundario probablemente estaba destinado al espionaje industrial.

El malware de CCleaner apunta a un grupo de hacking chino

Según los investigadores de Kaspersky, el malware CCleaner comparte algún código con las herramientas de hacking usadas por un sofisticado grupo de hacking chino llamado Axiom, también conocido como APT17, Grupo 72, DeputyDog, Equipo Tailgater, Lynx o AuroraPanda.

"El malware inyectado en #CCleaner ha compartido código con varias herramientas utilizadas por uno de los grupos de APT de la #Axiom APT 'paraguas'", twitteó el director de Global Research and Analysis Team de Kaspersky Lab.

Los investigadores de Cisco también señalan que se estableció un archivo de configuración en el servidor del atacante para la zona horaria de China, lo que sugiere que China podría ser la fuente del ataque CCleaner. Sin embargo, esta prueba por sí sola no es suficiente para la atribución.

Los investigadores de Cisco Talos también dijeron que ya han notificado a las empresas de tecnología afectadas acerca de una posible violación.

Quitar la versión maliciosa de CCleaner no ayudaría

La eliminación de la aplicación de software de Avast de las máquinas infectadas no sería suficiente para deshacerse de la segunda etapa de carga de malware CCleaner de la red, con el servidor C2 de los atacantes aún activo.

Por lo tanto, las empresas afectadas que han tenido sus equipos infectados con la versión maliciosa de CCleaner es altamente recomendable que restauren completamente sus sistemas con versiones de copia de seguridad antes de la instalación del programa de seguridad contaminado.

"Estos hallazgos también apoyan y refuerzan nuestra recomendación anterior de que aquellos afectados por este ataque de cadena de suministro no deberían simplemente eliminar la versión afectada de CCleaner o actualizar a la última versión, sino que deben restaurar desde copias de seguridad o reimagen los sistemas para asegurarse de que eliminan completamente no sólo la versión backdoored de CCleaner sino también cualquier otro malware que puede estar residente en el sistema", dicen los investigadores.

Para aquellos que no lo saben, la versión de 32 bits de CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 de Windows fueron afectados por el malware y los usuarios afectados deben actualizar el software a la versión 5.34 o superior.

Jesus_Caceres