La conocida herramienta de limpieza para Windows CCleaner dio hace unos días uno de los sustos del año al conseguir un grupo de hackers introducir una puerta trasera que podía ser utilizada para instalar malware, keyloggers y ransomware. El hecho de que Windows suela funcionar con privilegios de administrador ayuda bastante a los actores maliciosos.

 

Descubren esparcimiento de malware usando la puerta trasera de CCleaner

 

Tras ser reportado, los desarrolladores de CCleaner lanzaron de forma de rápida una versión parcheada de la aplicación y los investigadores que descubrieron las versiones troyanizadas descartaron un segundo escenario, sin embargo, esto último ha sido refutado hace poco, ya que investigadores de Talos Group, perteneciente a Cisco, han encontrado evidencias de una carga útil hallada en el fichero GeeSetup_x86.dll, que fue enviado a listas específicas de computadoras basadas en nombres de dominios locales.

La lista predefinida fue hallada en el servidor de mando y control de los desarrolladores de la puerta trasera introducida en CCleaner, y estaba diseñada para encontrar computadoras conectadas a redes pertenecientes a grandes empresas de tecnología, las cuales serían el objetivo de esta carga útil. Las empresas objetivo eran las siguientes:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

En la base de datos del servidor de mando y control se han encontrado a cerca de 700.000 ordenadores en las cuales se ha conseguido instalar la puerta trasera y al menos 20 (unidades) que fueron infectadas con la carga útil.

Las 20 computadoras infectadas con la carga útil fueron halladas utilizando nombre de dominio, dirección IP y nombre de host. Esto ha llevado a los investigadores de Talos Group a llegar a la conclusión de que podría tratarse de un malware creado para propósitos de espionaje industrial.

Un grupo de hackers chino podría estar detrás del ataque

La compañía de ciberseguridad Kaspersky Lab ha señalado que el autor de la puerta trasera y la carga útil sería un experto grupo de hackers chino llamado Axiom, que también habría actuado bajo nombres como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx y AuroraPanda. Esa es la conclusión a la que ha llegado tras encontrar en el malware distribuido mediante CCleaner código utilizado por el mencionado grupo.

Los investigadores de Cisco han encontrado un fichero de configuración en el servidor de los atacantes que establecía un horario perteneciente a una zona de China. Aunque esto no resulta en sí mismo concluyente para determinar que Axiom estuviera detrás de toda esta operación maliciosa, podría ser interpretado como una evidencia. Por otro lado, han notificado a las compañías afectadas nada más realizar su descubrimiento.

La carga útil no se elimina actualizando CCleaner

La puerta trasera podía ser eliminada mediante la actualización de la aplicación, pero no se puede decir lo mismo la carga útil, la cual solo puede ser eliminada mediante el uso de un antimalware o bien restaurando imágenes previas del sistema pertenecientes a un algún momento anterior a la instalación de la carga útil.

Fuente: The Hacker News

Compartir