CCleaner Hackeado
Leo en una nota de seguridad, que el popular programa de limpieza de archivos temporales para windows y android CCleaner, ha sido Hackeado (CCleaner Hackeado).
En esta nota de seguridad, la compañía nos advierte que las versiones comprometidas son CCleaner version 5.33.6162 y CCleaner Cloud version 1.07.3191 .
Básicamente se nos advierte que estas versiones han sido comprometidas debido a un ataque hacker, que ha «inyectado» (insertado) código malicioso dentro de los binarios ejecutables, que permiten al programa recibir comandos o instrucciones para ejecutar desde una IP remota en los sistemas afectados.
¿En qué consiste el Hackeo?
Sin entrar en demasiados tecnicismos el código estaba diseñado para recopilar información del sistema afectado, como por ejemplo:
- Datos del registro de windows
- Nombre del ordenador
- Lista de software instalado, incluyendo las actualizaciones de Windows.
- Lista de procesos que se ejecutan
- Dirección MAC de los primeros 3 adaptadores de red.
- Información adicional sobre los procesos en ejecución con privilegios de administrador
- La versión del sistema operativo 32 o 64 bits.
Una vez recolectada esta información el código malicioso la encriptará, y posteriormente enviará esta información a una IP en internet que estaba integrada en el código (no variable), lo cual es bueno, pues con un bloqueo es posible detener la recolección de datos.
¿He sido afectado?
Afortunadamentes, todo apunta a que solo una cierta cantidad particular de usuarios de CCleaner, se podrian ver afectados:
Usuarios que ejecuten la versión de 32-bits de la aplicación (la versión de 64-bit se reporta que no ha sido comprometida)
Usuarios que ejecutaran la version 5.33.6162 del CCleaner o del CCleaner Cloud 1.07.3191 liberada en Agosto 15 de 2017.
Si la versión instalada en tu ordenador es inferior a la 5.33.6162, entonces no ha sido afectado, el número de versión aparece frente al nombre del programa en la ventana principal, como se puede ver en esta imagen de ejemplo:
Ahora bien, si se tiene un poco mas de confianza y soltura con el sistema, la forma más segura de saber si se ha sido afectado es mirar en el registro (no modifiques nada dentro del registro, podrías estropear el sistema):
- Pinchar en el menu de windows.
- En el cuadro de búsqueda escribir «regedit» el sistema sugerirá el programa «regedit.exe», ejecutarlo.
- Ir al menu Edición, seleccionar Buscar, en el cuadro de búsqueda, escribir: «HKLM\SOFTWARE\Piriform»
- Hacer click en el botón «Buscar siguiente», el sistema realizará una búsqueda «Buscando en el Registro…»
- Al finalizar la búsqueda, tendremos que ver si existe una etiqueta «Agomo:MUID»
- Si esta etiqueta existe, en algún momento en el tiempo hemos tenido instalado el programa infectado, si no existe, es muy probable que no, pero aun asi, recomiendo ejecutar un antivirus en todo el sistema.
¿Qué debo hacer?
Mientras que hasta este momento no se ha detectado ningún daño o posible peligro que pueda permanecer en el sistema una vez actualizado el programa CCleaner, es muy recomendable utilizar un punto de restauración del sistema, a una fecha anterior del 15 de Agosto de 2017.
Ejecutar un antivirus y algun programa contra «malware» como por ejemplo el MalwareBytes Scan en su sistema y en todos los respaldos que se realizarán desde el 15 de Agosto hasta la fecha para comprobar que no existe algún archivo comprometido dentro del sistema.
Y en extremo, se recomienda, realizar la reinstalación completa del Windows, es totalmente tajante esta alternativa, pero es la única forma de estar completamente seguro que tenemos un sistema «limpio» después de un evento como este.
Como mencionaba antes, las fuentes no reportan de momento ningún peligro una vez actualizado el programa, pero el sistema que usa el código inyectado a la aplicación y que ha sido detectado es muy avanzado en cuanto técnicas de «ocultación» por lo que no podríamos descartar que existan otras variantes que pudieran dejar «comprometido» el sistema operativo.
Conclusión
En este caso, y que nos sirva como ejemplo, sólo las buenas prácticas de ciberseguridad, como tener un programa que «limpie nuestro PC» no son suficientes, la prudencia, mantenernos informados, actualizar el software, un firewall instalado en nuestro PC, en conjunto todas estas prácticas nos mantendrán seguros.
Este es un caso puntual, el CCleaner ha sido reparado y es igual de «seguro» que siempre lo ha sido, pero se debe poner especial atención el tipo de ataque que se ha utilizado por los Hackers en esta ocasión, en el que un programa «legítimo» y de «confianza» fue comprometido desde fuentes «originales», así que estábamos en peligro descargando un software original, desde una fuente original.
Una recomendación adicional, para aquellos que gustan de gozar de «copias de evaluaciones largas», mucho cuidado al descargar software para «prolongar la evaluación» podrían ser programas originales modificados para que, como ha pasado ahora, puedan robar datos o comprometer nuestro sistema, y al no tener una versión «legal» no se puede actualizar, dejando nuestro sistema vulnerable.
Fuentes:
[wp_ad_camp_2]
[sc name=»firma_general»]
2 comentarios sobre «CCleaner Hackeado»