La versión de CCleaner con una puerta trasera infectó a 2,27 millones de usuarios

El año pasado se detectó que CCleaner, la conocida herramienta de limpieza, tenía una puerta trasera en las versiones 5.33.6162 y Cloud 1.07.3191 para Windows que permitía al grupo de hackers que la desarrolló instalar en el sistema de la víctima malware, keyloggers y ransomware.

El hecho de que la mayoría de las instalaciones de Windows funcionen con privilegios de administrador facilitaba bastante la tarea a los actores maliciosos, que además consiguieron reemplazar las versiones legítimas de la aplicación por otras maliciosas, convirtiendo a CCleaner en todo un peligro para sus propios usuarios.

Ahora conocemos más detalles sobre lo que ocurrió realmente y tenemos números sobre el impacto real que llegó a tener la campaña llevada a cabo con la versión maliciosa de CCleaner. Según ha explicado en la conferencia RSA Ondrej Vlcek, Director de Tecnología y vicepresidente ejecutivo de Avast, los hackers consiguieron infiltrarse en la red de la empresa cinco meses antes de reemplazar la versión legítima de la aplicación por la que contenía la puerta trasera, además de haber infectado a un total de 2,27 millones de usuarios mediante actualización o instalación limpia de CCleaner.

La primera vez que los hackers accedieron a la red de Piriform, empresa desarrolladora de CCleaner, fue el 11 de marzo de 2017. Para ello se apoyaron en una estación de trabajo desatendida de uno de los desarrolladores de la aplicación, utilizando para ello la conocida solución de escritorio remoto TeamViewer. Al parecer, los atacantes habrían reutilizado las credenciales de TeamViewer del desarrollador obtenidas mediante brechas de datos para acceder a su estación de trabajo, consiguiendo instalar malware mediante VBScript.

Al día siguiente, utilizando el ordenador ya infectado, lograron introducirse en un segundo equipo desatendido conectado a la misma red para abrir una puerta trasera a través del Protocolo de Escritorio Remoto (RDP) de Windows, soltando luego los atacantes un binario y una carga maliciosa sobre el registro de la computadora objetivo. Dos días después los cibercriminales consiguieron infectar la primera computadora con una versión en segunda fase del mismo malware que luego se masificaría. Esta sería la que afectó a 40 computadoras de diversas multinacionales, un número que en un principio se estimó en 20.

Los hackers compilaron el 4 de abril de 2017 una versión personalizada de ShadowPad, un backdoor que permite a los atacantes descargar malware en el ordenador objetivo y robarle datos. Avast cree que esto pertenece a la tercera fase de la carga maliciosa, que ocho días después sería instalada en cuatro computadoras de la red de Piriform, incluyendo un servidor de compilación, mediante un fichero que se hizo pasar por la biblioteca mscoree.dll del entorno de ejecución de .NET.

Los atacantes prepararon entre abril y julio de 2017 la versión maliciosa de CCleaner, además de intentar colarse en más computadoras pertenecientes a la red de Piriform mediante la instalación de un keylogger en sistemas ya comprometidos para robar credenciales y luego acceder con privilegios de administrador mediante RPD.

Avast adquirió Piriform el 18 de julio y el 2 de agosto los cibercriminales reemplazaron en el sitio web oficial la versión legítima de CCleaner por la que incluía la puerta trasera. Los investigadores de Cisco hallaron la versión maliciosa e ilegítima de la aplicación el 13 de septiembre, momento en el que el escándalo vio la luz.

Además de instalar malware en los ordenadores infectados, la versión maliciosa de CCleaner tenía una carga útil diseñada para robar datos mediante un servidor de mando y control. Avast colaboró con el FBI para inhabilitar el servidor de mando y control tres días después de ser notificada del incidente, pero la aplicación con la puerta trasera ya había sido descargada por 2,27 millones de usuarios.

Avast no cree que el malware de tercera etapa haya afectado a las multinacionales, al menos como objetivo principal. Además, a través de su investigación ha descubierto que ShadowPad, que es de origen ruso, ha estado activo en Rusia y Corea del Sur para observar las transacciones de dinero y que la versión más vieja fue compilada en 2014, por lo que se cree que el grupo ha podido estar espiando durante años a instituciones y organizaciones.

Fuente: The Hacker News