CASO CCLEANER

Sí así es; una aplicación que se encarga de limpiar Windows y detectar posibles agujeros de seguridad ha sido comprometida y no es la primera vez ni será la última que el lado del mal ataca a soluciones aparentemente del lado del bien.

Para los malos evidentemente es una doble victoria el conseguir algo del estilo.

 

CCleaner aplicación del grupo Avast, reconocida por su producto Antivirus, fue atacada en su versión 5.33.6162 como en CCleaner Cloud v1.07.3191 el pasado 15 de Agosto del 2017 afectando a 2,27 millones de equipos y siendo detectado el ataque el 12 de septiembre por investigadores de Cisco Talos.

 

¿Cómo puede ocurrir algo así?

Los desarrolladores de este tipo de software firmar digitalmente las aplicaciones y así el usuario final puede verificar que se trata de un software legítimo.

Pero si un atacante consigue interceptar esta firma, bien mediante un simple robo o bien rompiendo la seguridad de la misma, puede incluir malware y hacerlo pasar como parte de la aplicación global.

Una vez que los usuarios se descargan las aplicaciones desde los servidores corporativos de descarga , el malware llega a los dispositivos de los usuarios.

En el caso concreto de CCleaner además de descargarse la aplicación de limpieza de Windows, el instalador incorporaba un payload “Domain Generation Algorithm“ que se conectaba a un servidor C&C (mando y control) para controlar remotamente el malware.

Según estudios realizados todo indica a que ha sido un experto grupo de hackers chinos, Axiom  el causante de la infección y que consiguieron infiltrarse en la red de Avast cinco meses antes de ejecutar el ataque, mediante la solución de acceso remoto TeamViewer al haberse apoderado de credenciales existentes en la deep web que permitieron conectarse a una estación de trabajo desatendida.

Desde esta estación de trabajo saltaron a un segundo equipo desatendido en el que habilitaron una puerta trasera en el Escritorio Remoto de Windows (RDP).

A partir de aquí empezaron a desarrollar y depurar una primera versión de malware que ya infectaba ordenadores con el objetivo de robar datos y acceder a privilegios de administrador. Con ese acceso ya pudieron robar las firmas y preparar la versión definitiva del malware

Evidentemente su profesionalidad llegaba a conseguir que el payload descargado no se eliminase actualizando el propio software CCleaner y la solución pasaba por instalar otro antimalware.

 

¿Qué podemos hacer para prevenir algo parecido?

Por un lado está la obligación de una empresa de seguridad de proteger sus activos mediante una estrategia de seguridad corporativa. El estudio demuestra que había equipos desatendidos que fueron los primeros comprometidos; que había credenciales de brechas de seguridad que seguían siendo válidas, que la propia organización no fue capaz de detectar el ataque y que el mismo empezó a generarse 6 meses antes de su descubrimiento; lo cual no hace más que poner en duda dicha estrategia.

En resumen, la empresa estaba muy centrada en el desarrollo de su producto sin mostrar tanto afán en realizar ciertas tareas de seguridad en la propia organización. Nos puede venir a la mente el famoso dicho de «En casa de herrero …..»

 

Desde el punto de vista del afectado, el usuario final, la única forma de hacer frente a estas amenazas es el uso de varios sistemas antimalware y una serie de acciones recomendadas hasta la saciedad:

  • No vale con tener un antivirus, por supuesto actualizado y con su correspondiente licencia. Las opciones free no son muy recomendadas por no incorporar análisis de patrones de acciones.
  • Hay que incorporar a cualquier dispositivo, sea equipo de sobremesa, portátil, tablet o móvil un firewall que nos permita protegernos de ataques externos y de accesos no autorizados desde el propio dispositivo y que nos informe de ello.
  • Actualización de los sistemas mediante los parches de seguridad del fabricante.
  • Realización de copias de seguridad con frecuencia de los datos importantes.
  • Concienciación del posible desastre a evitar.

 

 

 

Deja un comentario

Uso de cookies

Esta web utiliza cookies para optimizar tu navegación, adaptarse a tus preferencias y realizar estadísticas de nuestros visitantes. Si continúas navegando estás dando tu consentimiento para la aceptación de las mencionadas cookies y de nuestra política de cookies, pincha para más información y ver cómo desactivarlas.

ACEPTAR
Aviso de cookies