Afectada por el malware la versión de 32 bits de Windows de CCleaner v5.33.6162
Si has descargado o actualizado la aplicación CCleaner en tu computadora entre el 15 de agosto y el 12 de septiembre de este año desde su sitio web oficial, presta atención: tu computadora se ha visto comprometida.
CCleaner es una popular aplicación con más de 2 mil millones de descargas, creada por Piriform y recientemente adquirida por Avast, que permite a los usuarios limpiar su sistema para optimizar y mejorar el rendimiento.
Investigadores de seguridad de Cisco Talos descubrieron que los servidores de descarga utilizados por Avast para permitir a los usuarios descargar la aplicación se vieron comprometidos por algunos hackers desconocidos, que sustituyeron la versión original del software por la maliciosa y la distribuyeron a millones de usuarios durante un mes.
Este incidente es otro ejemplo de ataque a la cadena de suministro. A principios de este año, los servidores de actualización de una compañía ucraniana llamada MeDoc también fueron comprometidos de la misma manera para distribuir el ransomware Petya, que causó estragos en todo el mundo.
Avast y Piriform han confirmado que fueron afectadas por el malware la versión de 32 bits de Windows de CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191.
Detectado el 13 de septiembre, la versión maliciosa de CCleaner contiene una carga útil de malware en varias etapas que roba datos de equipos infectados y los envía a los servidores de control y control remoto del atacante.
Además, los hackers desconocidos firmaron el ejecutable de instalación malintencionada (v5.33) utilizando una firma digital válida emitida a Piriform por Symantec y utilizaron Algoritmo de Generación de Dominio (DGA), de modo que si el servidor de los atacantes cayera, la DGA podría generar nuevos dominios para recibir y enviar información robada.
"Toda la información recopilada fue cifrada y codificada por base64 con un alfabeto personalizado", dice Paul Yung, V.P. de productos en Piriform. "La información codificada fue posteriormente enviada a una dirección IP externa 216.126.x.x (esta dirección fue codificada en la carga útil, y hemos enmascarado intencionalmente sus dos últimos octetos aquí) a través de una solicitud HTTPS POST".
El software malicioso fue programado para recopilar un gran número de datos de usuario, incluyendo:
• Nombre de la computadora
• Lista de software instalado, incluyendo actualizaciones de Windows
• Lista de todos los procesos en ejecución
• Direcciones IP y MAC
• Información adicional como si el proceso se ejecuta con privilegios de administrador y si se trata de un sistema de 64 bits.
Cómo eliminar el malware de tu PC
Según los investigadores de Talos, alrededor de 5 millones de personas descargan cada semana CCleaner (o Crap Cleaner), lo que indica que más de 20 millones de personas podrían haber sido infectadas con la versión maliciosa de la aplicación.
"El impacto de este ataque podría ser grave dado el número extremadamente alto de sistemas posiblemente afectados. CCleaner afirma tener más de 2.000 millones de descargas en todo el mundo a partir de noviembre de 2016 y se informa de la adición de nuevos usuarios a un ritmo de 5 millones a la semana", dijo Talos.
Sin embargo, Piriform estima que hasta el 3 por ciento de sus usuarios (hasta 2,27 millones de personas) fueron afectados por la instalación maliciosa.
Se recomienda encarecidamente a los usuarios afectados que actualicen su software de CCleaner a la versión 5.34 o superior, con el fin de proteger sus computadoras de ser comprometidas. La última versión está disponible para descargar aquí.