CCleaner Hackeado Infectou mais de 2 Milhões de Usuários

Se você baixou ou atualizou o aplicativo CCleaner em seu computador entre 15 de agosto e 12 de setembro deste ano a partir do seu site oficial, então preste atenção – seu computador foi comprometido.

CCleaner é uma aplicação popular com mais de 2 bilhões de downloads, criada pela Piriform e recentemente adquirida pela Avast, que permite aos usuários limpar seu sistema para otimizar e aprimorar o desempenho.

Pesquisadores de segurança da Cisco Talos descobriram que os servidores de download utilizados pela Avast para permitir que os usuários baixem o aplicativo foram comprometidos por alguns hackers desconhecidos, que substituíram a versão original do software pelo malicioso e distribuíram isso para milhões de usuários por cerca de um mês.

Este incidente é mais um exemplo de ataque da cadeia de suprimentos. No início deste ano, os servidores de atualização de uma empresa ucraniana chamada MeDoc também foram comprometidos da mesma forma para distribuir o Ransomware Petya, que causou estragos em todo o mundo.

Avast e Piriform confirmaram que a versão de 32 bits do CCleaner v5.33.6162 e o CCleaner Cloud v1.07.3191 foram afetados pelo malware.

Detectado em 13 de setembro, a versão maliciosa do CCleaner contém uma payload de malware de vários estágios que rouba dados de computadores infectados e o envia para servidores de comando e controle remotos do invasor.

Além disso, os hackers assinaram o executável de instalação malicioso (v5.33) usando uma assinatura digital válida emitida para a Piriform pela Symantec e o Algoritmo de geração de domínio (DGA), de modo que, se o servidor dos atacantes fosse para baixo, o DGA poderia gerar novos domínios para receber e enviar informações roubadas.

Todas as informações coletadas foram criptografadas e codificadas por base64 com um alfabeto personalizado“, diz Paul Yung, V.P. de Produtos em Piriform. “A informação codificada foi subsequentemente enviada para um endereço IP externo 216.126.x.x através de uma solicitação HTTPS POST“.

O software mal-intencionado foi programado para coletar um grande número de dados do usuário, incluindo:

  • Nome do computador
  • Lista de software instalado, incluindo atualizações do Windows
  • Lista de todos os processos em execução
  • Endereços IP e MAC
  • Informações adicionais, como se o processo está sendo executado com privilégios de administrador e se é um sistema de 64 bits.

De acordo com os pesquisadores da Talos, cerca de 5 milhões de pessoas baixam CCleaner (ou Crap Cleaner) a cada semana, o que indica que mais de 20 milhões de pessoas poderiam estar infectadas com a versão maliciosa do aplicativo.

No entanto, Piriform estimou que até 3% dos usuários (até 2,27 milhões de pessoas) foram afetados pela instalação maliciosa.

Os usuários afetados são altamente recomendados para atualizar seu software CCleaner para a versão 5.34 ou superior, para proteger seus computadores de serem comprometidos.

fonte The Hacker News by Swati Khandelwal

por MindSec   20/09/2017
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.