CCleaner com backdoor em 730 mil PCs

Paulo Brito
18/09/2017
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest
tela do CCleaner
Clique para ampliar

Existem 730 mil PCs com uma versão contaminada do CCleaner segundo informações da Avast, e não mais 2,37 milhões. O utilitário foi comprometido com linhas extras e não planejadas de código nas versões 5.33.6162 (instalável no Windows 32 bits) e 1.07.3191 (CCleaner Cloud, utilizada para manutenção remota de PCs).

Hoje pela manhã a empresa Piriform, desenvolvedora desse produto e controlada pela Avast, publicou um comunicado informando sobre esse problema. Dentro dos dois programas havia um trecho de código para comunicação com endereços desconhecidos pela empresa, possivelmente servidores de C&C (comando e controle) para iniciar a segunda etapa de um ataque. A descoberta foi feita dia 12 de Setembro, terça-feira passada, segundo a Avast, e foi imediatamente iniciado um processo de investigação dos fatos e de correção do software. A pedido das autoridades dos EUA, a violação só pode ser tornada pública depois que for derrubado o servidor de comando e controle do malware, e por isso a comunicação foi feita somente hoje.

A empresa tem uma investigação em andamento para descobrir de que modo esse trecho “pirata” foi inserido no produto. A compilação do executável foi feita com um certificado válido, segundo a Tallos, empresa de segurança controlada pela Cisco, que também descobriu e analisou o problema.

Avast emite nota sobre o CCleaner

A Avast enviou esta explicação sobre o assunto: “O número inicial de usuários que usaram o software afetado por esse incidente foi de 2,27 milhões. Devido à nossa ação imediata para atualizar a nossa base de usuários, agora apenas 730 mil permanecem na versão 5.33.6162. O incidente afetou apenas usuários desta versão (5.33.6162) instalada no Windows de 32 bits. Esses usuários estão seguros agora, pois a nossa investigação indica que conseguimos desarmar a ameaça antes que ela pudesse causar qualquer dano.

A atualização para o CCleaner 5.34 remove o malware (o qual não pode mais prejudicar o usuário), porque o servidor foi desligado pela Avast. No caso do CCleaner Cloud, o software foi atualizado automaticamente. Para os usuários do CCleaner para desktop, recomendamos baixar e instalar a versão mais recente do software, que está disponível no: https://www.piriform.com/ccleaner/download/standard”

Na primeira versão desta notícia, informamos que a notificação do problema à Piriform havia sido feita pela Tallos, conforme publicação no blog da empresa. Diz a Avast: “O blog da Cisco afirma que eles foram a fonte de identificação da ameaça. Isso também está incorreto. A Cisco não foi a fonte de informações sobre essa ameaça. Nós sabíamos desta ameaça quando nos contataram no dia 14 de setembro e já tínhamos agido para detê-la. A Avast soube sobre o incidente em 12 de setembro, quando imediatamente deu início a um processo de investigação. Também aplicou as devidas leis americanas, para resolver a questão. A pedido das autoridades responsáveis ​​pela execução das leis nos EUA, apenas pode tornar pública a referida violação até que tivesse sucesso em derrubar o servidor.”

Atualizado com informações da Avast às 17h42

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest