O malware que foi distribuído junto com o CCleaner por quase um mês foi barrado, mas só agora algumas questões começam a ser respondidas. Não estava claro, por exemplo, quais os alvos do ataque. Mas análises recentes apontam que pelo menos 20 empresas estavam na mira dos invasores. O problema foi mais sério do que parece.

A versão 5.33.6162 do CCleaner para Windows e o CCleaner Cloud 1.07.3191 foram distribuídos entre 15 de agosto e 11 de setembro. Ambas as versões estavam contaminadas com um código malicioso oculto programado para agir sem o usuário perceber.

CCleaner

Estima-se o CCleaner contaminado tenha sido instalado em 2,27 milhões de computadores, embora as análises do Cisco Talos (um dos grupos que reportaram o ataque) indiquem que “apenas” 700 mil máquinas se comunicaram com o servidor que comandava o malware.

Os analistas acharam indícios de que os autores do malware tentaram encontrar, entre as máquinas contaminadas, computadores dentro de redes de cerca de 20 companhias de tecnologia, entre elas, Akamai, D-Link, Intel, Google, Microsoft e Samsung, além da própria Cisco.

Aparentemente, esse não foi um trabalho difícil de executar. As primeiras análises já indicavam que o malware conseguia coletar dados como nome do computador, lista de softwares instalados, processos em execução e endereços MAC. Essas informações podem ser usadas para identificação dos alvos.

Essa filtragem, por assim dizer, identificou máquinas em pelo menos metade das empresas alvejadas. É aqui que mora o perigo: a partir da brecha aberta pelo malware inserido no CCleaner, esses computadores podem ter executado código malicioso desenvolvido para capturar dados sigilosos, por exemplo.

Alvos do malware

Diante dessa possibilidade, a recomendação dos analistas da Cisco de restaurar o sistema operacional dos computadores afetados — e não apenas remover a versão contaminada do CCleaner — passa a ter mais validade, pelo menos em PCs de empresas.

Em nota enviada ao Tecnoblog no dia 19, a Avast (dona da Piriform, empresa responsável pelo CCleaner) afirmou que a recomendação do Cisco Talos é incorreta, pois a versão 5.34 e a atual versão 5.35 removem o malware; além disso, a empresa afirma que o servidor dos invasores foi derrubado.

Entretanto, por conta das recentes descobertas, a Cisco insiste que a simples remoção ou atualização do CCleaner não é suficiente, ao contrário do que a Avast sugere.

Tudo indica que essa novela está longe do fim. Ainda falta descobrir, por exemplo, como o código malicioso foi inserido no CCleaner sem ninguém perceber. A possibilidade de algum desenvolvedor da Piriform ter contribuído para isso não foi descartada. A Avast afirma que as investigações continuam.

Com informações: Wired, TechCrunch

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.