CCleaner, una aplicación de software ampliamente utilizada para tareas de mantenimiento y limpieza en Windows, ha sido víctima de un peligroso incidente de piratería. Piriform, el desarrollador original de CCleaner, fue adquirido recientemente por Avast, una reconocida empresa de ciberseguridad, con el objetivo de mejorar ambos productos y expandir su presencia en el mercado. Por lo general, los desarrolladores firman digitalmente sus aplicaciones, brindando a los usuarios la garantía de utilizar software legítimo. Sin embargo, por diversas razones, estas firmas pueden caer en manos equivocadas, lo que lleva a la firma de malware y su distribución engañosa, como se descubrió recientemente en el programa CCleaner.
La amenaza oculta:
En un informe reciente de la empresa de seguridad Talos de Cisco, se identificaron varias versiones comprometidas de CCleaner que estaban siendo aprovechadas por hackers para distribuir malware a usuarios desprevenidos. Durante las pruebas de un nuevo software de mitigación de exploits, los expertos de Talos detectaron alertas inesperadas dentro del instalador legítimo de CCleaner, específicamente en la versión 5.33. Estas versiones maliciosas habían estado circulando a través de servidores oficiales de descarga durante un período considerable, evadiendo sospechas. Si bien la versión de CCleaner en sí seguía siendo legítima, era el instalador el que ocultaba la sorpresa.
La explotación revelada:
Aunque la información detallada sobre cómo se comprometió la firma del instalador de CCleaner sigue sin revelarse, es importante destacar que este software había estado utilizando firmas inseguras de Symantec, que han sido motivo de preocupación durante algún tiempo. Es probable que los piratas informáticos hayan robado la firma, pero también existe la posibilidad de que hayan logrado eludir por completo las medidas de seguridad, lo que representa una amenaza más grave. Esto implica que los piratas informáticos podrían haber manipulado otras aplicaciones, potencialmente sin que los usuarios se dieran cuenta.
La carga oculta:
Al analizar el instalador de CCleaner descargado de los servidores de la compañía, los expertos en seguridad de Talos descubrieron que, además del limpiador de Windows en sí, el instalador también descargaba una carga útil conocida como "Domain Generation Algorithm" (Algoritmo de Generación de Dominios). Esta carga útil incluía instrucciones para conectarse a un servidor de comando y control (C&C) para recibir órdenes adicionales. Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, lanzadas en agosto, fueron comprometidas por este malware. Los usuarios que descargaron cualquiera de estas aplicaciones entre el 15 de agosto y el 12 de septiembre corren el riesgo de infección.
Mitigando la amenaza:
Los expertos en seguridad confirman que los servidores de control fueron cerrados el 15 de septiembre, lo que en gran medida ha contenido la amenaza. No obstante, se recomienda encarecidamente actualizar a la última versión, CCleaner 5.34, que ha eliminado el malware y se considera nuevamente segura. En cuanto a la eliminación del exploit, es solo cuestión de tiempo antes de que las aplicaciones de seguridad actualicen sus bases de datos para detectar y eliminar la amenaza, que actualmente está inofensiva.
Conclusión:
El incidente de piratería que involucra a CCleaner ha generado serias preocupaciones sobre la integridad y seguridad de aplicaciones de software ampliamente confiables. Se insta a los usuarios a mantenerse vigilantes y actualizar rápidamente su software CCleaner a la última versión para mitigar cualquier riesgo potencial. Los desarrolladores y las empresas de ciberseguridad deben trabajar juntos para garantizar la solidez de las firmas digitales y proteger a los usuarios de futuras violaciones de esta naturaleza.