The recent security issues of CCleaner
have probably left many unwilling to continue using the program.
Not only was a month compromised by a malware injection in its code,
but security experts have suggested that simply updating the version
to a non-infected one might not be enough to get rid of the threat.
Last year it was detected that this tool had a
backdoor in the versions 5.33.6162 and Cloud 1.07.3191 for Windows that
allowed the group of criminals who developed it to install on the system of
the victim malware, keyloggers and ransomware.
This corrupt version ended up infecting a total of 2,27
millones de usuarios mediante actualización o nueva instalación de CCleaner.
La historia empezó cuando delincuentes accedieron a la red
de Piriform, empresa desarrolladora de CCleaner, mediante el acceso a una
estación de trabajo desatendida de uno de los desarrolladores de la aplicación
mediante TeamViewer, que como sabemos es una solución de escritorio remoto. Al
parecer, los atacantes habrían reutilizado las credenciales de TeamViewer del
desarrollador obtenidas mediante brechas de datos para acceder a su estación de
trabajo, consiguiendo instalar malware mediante VBScript.
A continuación pudieron acceder a un segundo equipo e
instalar una versión personalizada de ShadowPad, un backdoor que permite a los
atacantes descargar malware en el ordenador objetivo y robarle datos, de este
modo lograron acceder a cuatro equipos de la red de Piriform. The
cibercriminales reemplazaron en el sitio web oficial la versión legítima de
CCleaner por la que incluía la puerta trasera.
Avast adquirió Piriform y colaboró con el FBI para
inhabilitar el servidor de mando y control tres días después de ser notificada
del incidente, pero la aplicación con la puerta trasera ya había sido
descargada por 2,27 million users.