Existem 730 mil PCs com uma versão contaminada do CCleaner segundo informações da Avast, e não mais 2,37 milhões. O utilitário foi comprometido com linhas extras e não planejadas de código nas versões 5.33.6162 (instalável no Windows 32 bits) e 1.07.3191 (CCleaner Cloud, utilizada para manutenção remota de PCs).
Hoje pela manhã a empresa Piriform, desenvolvedora desse produto e controlada pela Avast, publicou um comunicado informando sobre esse problema. Dentro dos dois programas havia um trecho de código para comunicação com endereços desconhecidos pela empresa, possivelmente servidores de C&C (comando e controle) para iniciar a segunda etapa de um ataque. A descoberta foi feita dia 12 de Setembro, terça-feira passada, segundo a Avast, e foi imediatamente iniciado um processo de investigação dos fatos e de correção do software. A pedido das autoridades dos EUA, a violação só pode ser tornada pública depois que for derrubado o servidor de comando e controle do malware, e por isso a comunicação foi feita somente hoje.
A empresa tem uma investigação em andamento para descobrir de que modo esse trecho “pirata” foi inserido no produto. A compilação do executável foi feita com um certificado válido, segundo a Tallos, empresa de segurança controlada pela Cisco, que também descobriu e analisou o problema.
Avast emite nota sobre o CCleaner
A Avast enviou esta explicação sobre o assunto: “O número inicial de usuários que usaram o software afetado por esse incidente foi de 2,27 milhões. Devido à nossa ação imediata para atualizar a nossa base de usuários, agora apenas 730 mil permanecem na versão 5.33.6162. O incidente afetou apenas usuários desta versão (5.33.6162) instalada no Windows de 32 bits. Esses usuários estão seguros agora, pois a nossa investigação indica que conseguimos desarmar a ameaça antes que ela pudesse causar qualquer dano.
A atualização para o CCleaner 5.34 remove o malware (o qual não pode mais prejudicar o usuário), porque o servidor foi desligado pela Avast. No caso do CCleaner Cloud, o software foi atualizado automaticamente. Para os usuários do CCleaner para desktop, recomendamos baixar e instalar a versão mais recente do software, que está disponível no: https://www.piriform.com/ccleaner/download/standard”
Na primeira versão desta notícia, informamos que a notificação do problema à Piriform havia sido feita pela Tallos, conforme publicação no blog da empresa. Diz a Avast: “O blog da Cisco afirma que eles foram a fonte de identificação da ameaça. Isso também está incorreto. A Cisco não foi a fonte de informações sobre essa ameaça. Nós sabíamos desta ameaça quando nos contataram no dia 14 de setembro e já tínhamos agido para detê-la. A Avast soube sobre o incidente em 12 de setembro, quando imediatamente deu início a um processo de investigação. Também aplicou as devidas leis americanas, para resolver a questão. A pedido das autoridades responsáveis pela execução das leis nos EUA, apenas pode tornar pública a referida violação até que tivesse sucesso em derrubar o servidor.”
Atualizado com informações da Avast às 17h42