Ccleaner es una de las aplicaciones más completas para limpiar nuestro Windows y llevar a cabo las tareas de mantenimiento básicas. Piriform, desarrolladora original de esta herramienta, fue adquirida recientemente por la forma de seguridad Avast con el fin de potenciar ambos productos y poder seguir creciendo en el mercado. Normalmente, las desarrolladoras suelen firmar digitalmente sus aplicaciones de manera que los usuarios finales puedan saber que están utilizando una aplicación legítima. Sin embargo, por diversas causas, puede que estas firmas caigan en manos de piratas informáticos, quienes las utilizan para firmar malware y hacerlo pasar por software legítimo, como acaba de ocurrir con este limpiador y optimizador de Windows.
Hace escasos minutos, la empresa de seguridad Talos, de Cisco, acaba de publicar un informe en el que informa de una serie de versiones de Ccleaner comprometidas que están siendo utilizadas por piratas informáticos para distribuir malware entre los usuarios que confían en ellas.
Durante las pruebas de un nuevo software para la mitigación de exploits, los expertos de Talos detectaron una serie de avisos inesperados en el instalador legítimo de Ccleaner, concretamente en la versión 5.33. Estas versiones maliciosas han estado llegando a los usuarios a través de los servidores de descarga legítimos sin levantar sospechas durante bastante tiempo y, aunque la versión de Ccleaner es legítima, el propio instalador es quién oculta la sorpresa.
Aunque no se han facilitado demasiados detalles sobre cómo ha sido posible suplantar la firma del instalador de Ccleaner, curiosamente este software utiliza una de las firmas inseguras de Symantec, de las que llevamos hablando ya algún tiempo. Aunque lo más probable es que los piratas informáticos hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los piratas podrían haber suplantado otras aplicaciones sin nisiquiera darnos cuenta de ello.
El instalador de Ccleaner oculta un payload utilizado para distribuir malware
Cuando los expertos de seguridad de Talos analizaron el instalador de Ccleaner, que se había descargado desde los servidores de la compañía, pudieron encontrar que, además de descargar este limpiador de Windows, el propio instalador descargaba un payload del tipo «Domain Generation Algorithm«, payload que, entre otras cosas, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.
Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, estaban comprometidas por este malware, y todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12 de septiembre están infectados por este malware.
Los expertos de seguridad aseguran que los servidores de control ya fueron cerrados el pasado 15 de septiembre, por lo que la amenaza está, más o menos, controlada. De todas formas, se recomienda actualizar cuanto antes a la última versión, Ccleaner 5.34, la cual ha eliminado ya este malware y vuelve a ser, aparentemente, segura.
En cuanto a la eliminación del exploit, es solo cuestión de tiempo que nuestras aplicaciones de seguridad actualicen sus bases de datos, detecten y eliminen la amenaza, que, ahora mismo, es inofensiva.
¿Qué opinas de esta amenaza? ¿Habías instalado Ccleaner 5.33 en tu ordenador?