Na última segunda-feira (18), a firma de segurança Cisco Talos revelou que duas versões do CCleaner foram hackeadas para capturar as informações do usuário e do computador, como nome, lista dos programas instalados, processos em execução e endereços MAC.

O CCleaner é um programa de limpeza de cache e registros. Por meio dele, os usuários podem excluir arquivos inúteis do computador; além disso, ele é usado para fazer a desinstalação limpa de vários programas (sem deixar rastros), tanto no Windows quanto no macOS.

Por 28 dias, de 15 de agosto a 12 de setembro, as versões do programa foram distribuídas com o malware no site oficial da Piriform, desenvolvedora do CCleaner. Especificamente, as versões afetadas foram: CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191. Estima-se que só o CCleaner comum teve 2,27 milhões de downloads; a versão Cloud teve 5 mil usuários infectados.

Estima-se que só o CCleaner comum teve 2,27 milhões de downloads; a versão Cloud teve 5 mil usuários infectados.

O que mais agrava essa situação é que a Piriform foi comprada pela Avast. Sim, a Avast, grande empresa de antivírus. E, por todo esse período, ninguém percebeu que tais versões do CCleaner foram distribuídas com malware. Segundo uma análise da Talos, quase nenhum antivírus acusava nada até a divulgação do malware pela firma de segurança.

A modificação era tão discreta que não mudava nada no programa ou em seus certificados; mas deixava rastros no registro do Windows. A disseminação do malware só foi parada “por acidente” em 12 de setembro, quando uma nova versão do programa foi enviada para o site. Quem usa a versão comum (não-Cloud), no entanto, não tem atualizações automáticas, e deve baixar a última versão o quanto antes.

Por que esse ataque é perigoso?

A suspeita é que os invasores estavam planejando um ataque maior ao coletar essas informações. Suspeita que se concretizou pela própria Cisco Talos na última quarta-feira (20), em nova publicação com mais informações da pesquisa deles – que, inclusive, ainda está em progresso.

home-banner-mac

Eles descobriram um arquivo que estava hospedado no servidor que foi usado pelos hackers para coletar as informações dos usuários afetados. Nestes arquivos, eles descobriram que o programa detectava se os computadores invadidos estavam dentro das redes de diversas empresas de tecnologia, como a própria Cisco, Microsoft, Intel, Samsung e Google.

Segundo a Talos, os hackers estavam atrás de propriedade intelectual. É mais um motivo para se preocupar porque os hackers ainda não são conhecidos e tiveram uma ação bem sofisticada. A firma de segurança descobriu que a base de dados do C2 tem duas tabelas, uma com os PCs que baixaram o malware e outra que lista os PCs que receberam o segundo estágio do ataque, que ainda não se sabe o que faz. Estima-se que 20 computadores foram afetados por esse segundo estágio.

Como o CCleaner foi infectado?

O motivo ainda é incerto, mas a Talos estima que um hacker externo comprometeu uma parte do desenvolvimento do CCleaner e conseguiu acesso para inserir o malware na build (versão do programa) que foi distribuída pela Piriform. No entanto, a firma de segurança não descarta que a ação tenha sido interna e que uma pessoa de dentro da organização tenha colocado (ou facilitado acesso para alguém colocar) o malware.

cyber-security-1923446_1280

O posicionamento da Avast, no entanto, é menos alarmante. Eles dizem que o servidor dos invasores já foi derrubado, que as versões atuais do CCleaner já resolvem o malware e que a distribuição foi interrompida antes do segundo estágio do ataque.

Há precedentes?

Esse caso do CCleaner não foi o único em que um programa confiável foi distribuído com malware. O mesmo aconteceu com o HandBrake, um programa para converter vídeos muito popular para Mac. E tem mais: ele é de código aberto, então seria mais fácil alguém perceber alguma alteração indevida.

No começo do ano, entre 2 e 6 de maio, o servidor que hospedava o HandBrake foi invadido e a versão do programa para Mac foi distribuída com o malware, um trojan que dava acesso remoto do computador do usuário aos hackers. Algo ainda mais grave, já que informações pessoais podem ter sido comprometidas.

O que podemos aprender?

É claro que em certas situações é difícil descobrir que o seu sistema foi invadido, ainda mais se isso aconteceu por alguém de dentro da sua empresa. Esses casos, do CCleaner e HandBrake, são muito sérios e afetam diretamente os usuários, que pensavam que estavam baixando um programa confiável diretamente do site oficial.

Falamos muito sobre testar o software, e normalmente isso é compreendido apenas para deixar o programa estável. Não necessariamente: é importantíssimo você testar atualizações. Não só para encontrar bugs, mas também falhas de segurança.

É importantíssimo você testar atualizações. Não só para encontrar bugs, mas também falhas de segurança.

Ambos os exemplos do CCleaner e também do HandBrake mostram que é necessário estabelecer uma série de checagens para prevenir casos como esses, em que o programa foi comprometido e só depois que os usuários foram afetados o problema foi mitigado. O dano, principalmente no caso da Avast (dona do CCleaner), foi bem maior do que tomar essa precaução. Não digo só em termos de usuários afetados, mas também na imagem de uma empresa que detém um dos antivírus mais usados do mundo.

Aqui na One Day Testing a gente leva a segurança muito a sério e achamos que você também deveria. A nossa equipe está pronta para te ajudar a fazer todos os testes que você precisa. Entre em contato comigo pelo e-mail bruno.abreu@sofist.com.br ou ligue (19) 3291-5321. Será um prazer ajudar!