Início » Antivírus e Segurança » Versões hackeadas do CCleaner foram distribuídas por semanas e ninguém percebeu

Versões hackeadas do CCleaner foram distribuídas por semanas e ninguém percebeu

Emerson Alecrim Por

O CCleaner é uma das ferramentas mais utilizadas por quem almeja deixar o Windows estável eliminando entradas inválidas no registro do sistema, arquivos temporários e outros dados inúteis ou perigosos. Mas, recentemente, o próprio software se tornou um perigo: duas versões do CCleaner distribuídas desde agosto foram hackeadas para capturar informações do usuário.

Não está claro quantos computadores foram afetados, mas as estimativas iniciais dão conta de que o CCleaner 5.33.6162 (32 bits) foi baixado 2,27 milhões de vezes. Essa é a versão modificada pelos invasores. O CCleaner Cloud 1.07.3191 também foi indevidamente alterado, mas essa versão teve apenas cinco mil downloads, aproximadamente.

CCleaner

A parte mais irônica dessa história é que a Piriform, empresa responsável pelo CCleaner, foi comprada pela Avast em julho. Nenhuma das partes percebeu que os softwares haviam sido comprometidos. O CCleaner 5.33.6162 e o CCleaner Cloud 1.07.3191 começaram a ser distribuídos em 15 de agosto a partir dos servidores oficiais.

Os softwares foram modificados de maneira bastante discreta. Nenhuma funcionalidade foi afetada, de modo que os usuários não notaram problemas. O que as modificações permitem, basicamente, é que um malware seja baixado e executado em segundo plano.

As versões afetadas foram distribuídas até 11 de setembro. No dia 12, atualizações (limpas) foram disponibilizadas. O problema é que só a versão Cloud é atualizada automaticamente. A versão convencional deve ser atualizada por iniciativa do próprio usuário. Esse fator é o que mais gera preocupação.

Apesar disso, Ondrej Vlcek, CTO da Avast, acredita que não há motivo para pânico. De acordo com executivo, o incidente é sério, mas a ação dos invasores foi descoberta e interrompida antes que o segundo estágio do ataque, que poderia levar ao comprometimento de dados dos usuários, fosse efetivado.

O "modus operandi" do código malicioso

O "modus operandi" do código malicioso

Análises de companhias de segurança, incluindo Cisco Talos (grupo que descobriu e reportou o problema), afirmam que o código inserido indevidamente no CCleaner foi desenvolvido para coletar dados como nome do computador, lista de softwares instalados, processos em execução e endereços MAC.

Essas informações poderiam ser usadas para organizar um ataque maior, mas a Avast afirma que a comunicação com os invasores foi interrompida, portanto, as chances de problemas mais graves são mínimas.

Nem todo mundo está tão otimista assim. Martijn Grooten, editor da Virus Bulletin, diz ter "a sensação de que eles [a Avast] estão minimizando isso". Na dúvida, é recomendável a quem instalou uma das versões contaminadas do CCleaner fazer, além do update, uma verificação completa da segurança do computador.

Como o ataque foi realizado? Ainda não se sabe. Mas a possibilidade de envolvimento de funcionários da própria Piriform não está descartada.

Atualização em 19/09/2017 às 15:30: em nota enviada ao Tecnoblog, a Avast afirma que tomou conhecimento do problema no dia 12 de setembro, antes da notificação dada pelo Cisco Talos, feita dois dias depois. A companhia também afirma que iniciou um processo de investigação imediatamente e que, seguindo as leis dos Estados Unidos, apenas tornou o acontecimento público depois de mitigar a ação dos invasores.

Com informações: ReutersThe Next Web, Forbes

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Matheus Willder dos Santos
o problema é terem falado que o 2o estágio da infecção foi contida, eu não acredito pois a 5.33 ficou por um tempão no ar.
Também não acredito. O ataque foi contido apenas atualizando uma versão que ficou quase 1 mês disponível sem ninguém notar uma infecção e ponto, nada mais aconteceu. Para uma empresa de segurança tanta eficiência assim passa muita credibilidade... Pior é que muitas ferramentas de segurança (sérias, não as da Avast!) também deixaram passar por todo esse tempo...
Emerson Alecrim
Pelo o que informaram, só a versão para Windows teve problemas.
Thiago Sabaia
A versão para Mac estava comprometida também?
Emerson Alecrim
Muito provavelmente.
Deealt Noubeza ( ?° ?? ?°)
malwarebytes serve... o problema é terem falado que o 2o estágio da infecção foi contida, eu não acredito pois a 5.33 ficou por um tempão no ar. e o que o vírus fazia é: "coletar dados como nome do computador, lista de softwares instalados, processos em execução e endereços MAC." ou era pra botnet ou era pra roubo de dados.
Deealt Noubeza ( ?° ?? ?°)
eu fui um dos atacados, o malware é o Trojan.Nyetya... :|
Emerson Alecrim
As versões anteriores não foram afetadas, de acordo com a Avast. Mas, na dúvida, eu atualizaria o CCleaner.
Emerson Alecrim
Atualizar o CCleaner é a primeira medida. Depois faz uma análise com um antivírus da sua confiança. É pouco provável que a Avast libere uma ferramenta específica para o problema, pois isso irá contradizer a afirmação deles de que não houve problemas maiores oriundos do ataque.
Marcelo
Tbm aqui...me deixa mais aliviado... mas os caras não darem detalhes ou uma ferramenta de scan mais específica, é de lascar...
cpu cell PC WINDOWS
só a versão 5.33.6162 foi comprometida quem tem a versão anterior tá ok.
Marcelo
Sim... claro... " faz ai uma verificação de segurança"... grande solução... Deveriam disponibilizar uma ferramenta de verificação específica para achar alterações em registro, portas etc..
David Diniz
Uso o Ccleaner mas é a versão de 64 bit e espero que não tenha sido comprometido também
DumbSloth87
Ler o texto é bom as vezes.
Marcelo
E como faz pra se resolver?... só desinstalar o programa ou tem outra medida?
Trovalds
Depois ninguém sabe porque a AVAST perdeu no conceito de boa proteção. E outra: aparentemente o software comprometido pode ter aberto uma backdoor e além da coleta de dados instalou algum rootkit ou algo mais difícil de detectar e apenas "cortar a comunicação" não resolveria o problema.