Una de las tácticas más peligrosas y efectivas en cualquier campaña de infección es cuando un atacante logra intervenir la cadena de distribución en un producto, y hacer pasar su malware como parte de una actualización legítima. Eso es exactamente lo que sucedió con CCleaner, popular software de mantenimiento que ahora pertenece a Avast. El backdoor fue detectado en los builds de 32 bits de CCleaner, y en una versión específica de CCleaner Cloud. La buena noticia es que (aparentemente) no llegó a causar daño, pero se recomienda tomar precauciones.
No es la primera vez que sucede, y me temo que no será la última. Infiltrar el mecanismo de actualizaciones en cualquier programa puede dar lugar a una infección masiva que afecte a cientos de millones de usuarios alrededor del mundo. Uno de los ejemplos más contundentes se vio a fines de junio, cuando una variante del ransomware Petya utilizó como vía de distribución a los updates de un software de contaduría en Ucrania. Sin embargo, hoy nos encontramos con una infección cuyo potencial destructivo pudo ser mucho mayor. La víctima fue CCleaner, clásico programa de mantenimiento desarrollado por Piriform, y ahora bajo el ala de Avast.
Los expertos de Morphisec y el Talos Group de Cisco identificaron un backdoor integrado en los instaladores de CCleaner 5.33.6162 de 32 bits y CCleaner Cloud 1.07.3191 con la ayuda de una nueva tecnología de detección. Los builds de instalación y los ejecutables habían recibido certificados digitales legítimos emitidos por Symantec, cuya validez se extendía hasta el 10 de octubre de 2018. El paquete está compuesto por funciones de mando y control, y un algoritmo de generación de dominios. La distribución del software infectado se llevó a cabo entre el 15 de agosto y el 12 de septiembre, fecha en la que Piriform publicó a CCleaner 5.34. La conclusión del Talos Group es que un agente externo logró comprometer una parte del entorno de desarrollo de CCleaner, o por el contrario, que fue alguien dentro de la organización.
¿Qué es lo que sigue para el usuario a partir de aquí? La a recomendación es generar un hash SHA256 del exe principal «y» el último instalador que descargamos, comparando sus resultados con estas tres cadenas:
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9
Si el resultado es positivo, entonces ese ejecutable contiene el malware. El siguiente paso es abrir al Editor del Registro, visitar la ruta «HKEY_LOCAL_MACHINE\Software\Piriform» y verificar la presencia de alguna entrada con la leyenda «Agomo». Si aparece allí, el malware ya está en el sistema. La última fase es actualizar CCleaner a la versión 5.34 cuanto antes (aún si no utilizamos el build de 32 bits porque el instalador posee a ambos), y hacer un barrido total del ordenador con un antivirus o antimalware al día. La gente de Malwarebytes informó que su programa ya detecta la infección, coloca los ejecutables en cuarentena, y bloquea la comunicación con el servidor remoto. La sugerencia de Talos es más extrema: Revertir el sistema a un estado previo al 15 de agosto, o reinstalar Windows. Por otro lado, en Piriform dicen que es suficiente con actualizar CCleaner, y que solamente 2.27 millones de usuarios fueron afectados. Vamos a dejar nuestros radares encendidos, y reportaremos cualquier novedad.