O CCleaner é uma das ferramentas mais utilizadas por quem almeja deixar o Windows estável eliminando entradas inválidas no registro do sistema, arquivos temporários e outros dados inúteis ou perigosos. Mas, recentemente, o próprio software se tornou um perigo: duas versões do CCleaner distribuídas desde agosto foram hackeadas para capturar informações do usuário.

Não está claro quantos computadores foram afetados, mas as estimativas iniciais dão conta de que o CCleaner 5.33.6162 (32 bits) foi baixado 2,27 milhões de vezes. Essa é a versão modificada pelos invasores. O CCleaner Cloud 1.07.3191 também foi indevidamente alterado, mas essa versão teve apenas cinco mil downloads, aproximadamente.

CCleaner

A parte mais irônica dessa história é que a Piriform, empresa responsável pelo CCleaner, foi comprada pela Avast em julho. Nenhuma das partes percebeu que os softwares haviam sido comprometidos. O CCleaner 5.33.6162 e o CCleaner Cloud 1.07.3191 começaram a ser distribuídos em 15 de agosto a partir dos servidores oficiais.

Os softwares foram modificados de maneira bastante discreta. Nenhuma funcionalidade foi afetada, de modo que os usuários não notaram problemas. O que as modificações permitem, basicamente, é que um malware seja baixado e executado em segundo plano.

As versões afetadas foram distribuídas até 11 de setembro. No dia 12, atualizações (limpas) foram disponibilizadas. O problema é que só a versão Cloud é atualizada automaticamente. A versão convencional deve ser atualizada por iniciativa do próprio usuário. Esse fator é o que mais gera preocupação.

Apesar disso, Ondrej Vlcek, CTO da Avast, acredita que não há motivo para pânico. De acordo com executivo, o incidente é sério, mas a ação dos invasores foi descoberta e interrompida antes que o segundo estágio do ataque, que poderia levar ao comprometimento de dados dos usuários, fosse efetivado.

O "modus operandi" do código malicioso

O “modus operandi” do código malicioso

Análises de companhias de segurança, incluindo Cisco Talos (grupo que descobriu e reportou o problema), afirmam que o código inserido indevidamente no CCleaner foi desenvolvido para coletar dados como nome do computador, lista de softwares instalados, processos em execução e endereços MAC.

Essas informações poderiam ser usadas para organizar um ataque maior, mas a Avast afirma que a comunicação com os invasores foi interrompida, portanto, as chances de problemas mais graves são mínimas.

Nem todo mundo está tão otimista assim. Martijn Grooten, editor da Virus Bulletin, diz ter “a sensação de que eles [a Avast] estão minimizando isso”. Na dúvida, é recomendável a quem instalou uma das versões contaminadas do CCleaner fazer, além do update, uma verificação completa da segurança do computador.

Como o ataque foi realizado? Ainda não se sabe. Mas a possibilidade de envolvimento de funcionários da própria Piriform não está descartada.

Atualização em 19/09/2017 às 15:30: em nota enviada ao Tecnoblog, a Avast afirma que tomou conhecimento do problema no dia 12 de setembro, antes da notificação dada pelo Cisco Talos, feita dois dias depois. A companhia também afirma que iniciou um processo de investigação imediatamente e que, seguindo as leis dos Estados Unidos, apenas tornou o acontecimento público depois de mitigar a ação dos invasores.

Com informações: ReutersThe Next Web, Forbes

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Matheus Willder dos Santos

Softwares OpenSource populares também já foram distribuídos com malware antes, e alternativas ao CCleaner tanto proprietárias como abertas não faltam, o problema é a quantidade e a qualidade das funções.

Matheus Willder dos Santos

Todos confiaram, a heurística não pegou e por causa do certificado legítimo ele passou também por softwares de proteção que usam proteção "não confiar", quando só permitem algo rodar quando tem certificado.

lucas.lop

Talvez uma solução open source, seria uma solução viável? Dei uma pesquisada e encontrei esse aqui: https://www.bleachbit.org
Será uma boa alternativa?

Cortana ✔

Windows 10 S ❤

Molinex

O que maluco?
A Avast vai comprar nossa empresa?
E eu vou ser demitido?
Então fica só vendo o que eu vou fazer...

João

Eu não atualizo o CCleaner desde bem antes de ser comprado pelo Avast...

Leonardo Spricigo

Aproveitando o outro post:

1- Aperte as teclas Win+R para abrir o Executar;
2- Digite regedit;
3- Navegue pelo caminho HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\;
4- Se você foi afetado pelo malware, deve haver uma pasta CCleaner e outra denominada Agomo, que leva o nome do vírus.

Como remover o malware?

Remover o malware é simples. Ainda nos registros, clique com o botão direito em Agomo e selecione Excluir. Além disso, atualize imediatamente o seu CCleaner; a última versão está disponível no site da Piriform.

Deealt Noubeza ( ͡° ͜ʖ ͡°)

malwarebytes atualizado só conseguiu pegar esse vírus hoje, semana passada fiz o scan e nada.

Matheus Willder dos Santos
o problema é terem falado que o 2o estágio da infecção foi contida, eu não acredito pois a 5.33 ficou por um tempão no ar.
Também não acredito. O ataque foi contido apenas atualizando uma versão que ficou quase 1 mês disponível sem ninguém notar uma infecção e ponto, nada mais aconteceu. Para uma empresa de segurança tanta eficiência assim passa muita credibilidade... Pior é que muitas ferramentas de segurança (sérias, não as da Avast!) também deixaram passar por todo esse tempo...
Emerson Alecrim
Pelo o que informaram, só a versão para Windows teve problemas.
Thiago Sabaia
A versão para Mac estava comprometida também?
Emerson Alecrim
Muito provavelmente.
Deealt Noubeza ( ?° ?? ?°)
malwarebytes serve... o problema é terem falado que o 2o estágio da infecção foi contida, eu não acredito pois a 5.33 ficou por um tempão no ar. e o que o vírus fazia é: "coletar dados como nome do computador, lista de softwares instalados, processos em execução e endereços MAC." ou era pra botnet ou era pra roubo de dados.
Deealt Noubeza ( ?° ?? ?°)
eu fui um dos atacados, o malware é o Trojan.Nyetya... :|
Emerson Alecrim
As versões anteriores não foram afetadas, de acordo com a Avast. Mas, na dúvida, eu atualizaria o CCleaner.
Exibir mais comentários