Los recientes problemas de seguridad de CCleaner
probablemente hayan dejado a muchos sin ganas de continuar usando el programa.
No solo pasó un mes comprometido por una inyección de malware en su código,
sino que expertos de seguridad han sugerido que con solo actualizar la versión
por una no infectada podría no ser suficiente para librarse de la amenaza.
El año pasado se detectó que esta herramienta tenía una
puerta trasera en las versiones 5.33.6162 y Cloud 1.07.3191 para Windows que
permitía al grupo de delincuentes que la desarrolló instalar en el sistema de
la víctima malware, keyloggers y ransomware.
Esta versión corrupta llegó a infectar a un total de 2,27
millones de usuarios mediante actualización o nueva instalación de CCleaner.
La historia empezó cuando delincuentes accedieron a la red
de Piriform, empresa desarrolladora de CCleaner, mediante el acceso a una
estación de trabajo desatendida de uno de los desarrolladores de la aplicación
mediante TeamViewer, que como sabemos es una solución de escritorio remoto. Al
parecer, los atacantes habrían reutilizado las credenciales de TeamViewer del
desarrollador obtenidas mediante brechas de datos para acceder a su estación de
trabajo, consiguiendo instalar malware mediante VBScript.
A continuación pudieron acceder a un segundo equipo e
instalar una versión personalizada de ShadowPad, un backdoor que permite a los
atacantes descargar malware en el ordenador objetivo y robarle datos, de este
modo lograron acceder a cuatro equipos de la red de Piriform. Los
cibercriminales reemplazaron en el sitio web oficial la versión legítima de
CCleaner por la que incluía la puerta trasera.
Avast adquirió Piriform y colaboró con el FBI para
inhabilitar el servidor de mando y control tres días después de ser notificada
del incidente, pero la aplicación con la puerta trasera ya había sido
descargada por 2,27 millones de usuarios.