Un grupo de hackers desconocidos secuestró el servidor de descarga de CCleaner para distribuir una versión maliciosa del popular software de optimización del sistema. A principios de esta semana, cuando el hackeo de CCleaner fue hecho público, los investigadores aseguraron a los usuarios que no existía una segunda puerta trasera y que, por lo tanto, los usuarios afectados podían subsanar el problema simplemente actualizaando lu versión para deshacerse del software malicioso.

Sin embargo, durante el análisis del servidor de comando y control de los hackers al que se conectaron las versiones maliciosas de CCleaner, los investigadores de seguridad del Grupo Talos de Cisco encontraron evidencia de una segunda carga útil (GeeSetup_x86.dll, un módulo de puerta trasera ligero) en el que incluía una lista específica de equipos basados ​​en nombres de dominio locales.

Grandes empresas de tecnología afectadas

De acuerdo a la información facilitada por The Hacker News, en la base de datos, los investigadores encontraron una lista de cerca de 700.000 máquinas infectadas con la versión maliciosa de CCleaner, es decir, y una lista de al menos 20 máquinas que fueron infectadas con la segunda puerta trasera para tener una posición más profunda en aquellos sistemas.

La lista mencionada en la configuración del servidor C2, contiene numerosas empresas de tecnología que los hackers eligieron específicamente basándose en su nombre de dominio, dirección IP y nombre de host. Y es que, el ataque parece haber sido diseñado para encontrar ordenadores dentro de las redes de las principales empresas de tecnología. Entre las afectadas se encuentran:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

¿Destinado al espionaje industrial?

Los investigadores creen que el segundo malware podría estar destinado al espionaje industrial ya que
según los investigadores de Kaspersky, el malware comparte algún código con las herramientas de hacking usadas por un sofisticado grupo de hacking chino llamado Axiom, también conocido como APT17, Grupo 72, DeputyDog, Equipo Tailgater, Lynx o AuroraPanda.

Los investigadores de Cisco, por su parte, señalan que uno de los archivos de configuración en el servidor del atacante se estableció para la zona horaria China, lo que sugiere que China podría ser la fuente del ataque a CCleaner. Sin embargo, esta prueba por sí sola no es suficiente para la atribuir el ataque.

Actualizar no es suficiente

Tal y como os contábamos a principio de semana, sólo la eliminación de la aplicación de software de Avast de las máquinas infectadas no sería suficiente para deshacerse del malware. Por lo tanto, las empresas afectadas deben restaurar completamente sus sistemas con copias de seguridad anteriores a la instalación del programa contaminado.

Para aquellos que no lo saben, la versión de 32 bits de CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 de Windows fueron afectados por el malware y los usuarios afectados deben actualizar el software a la versión 5.34 o superior.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

Deja un comentario