Não é segredo que o CCleaner foi infectado com malware durante um incidente em setembro de 2017, o que acabou comprometendo os PCs de pouco mais de 2 milhões de usuários.
Na época a Avast Software, que comprou o CCleaner em julho do mesmo ano, iniciou uma investigação para descobrir como isso aconteceu e agora os resultados estão disponíveis.
Investigação mostra como o CCleaner foi infectado com malware em 2017
De acordo com os resultados da investigação, os hackers conseguiram se infiltrar na rede da Piriform quase cinco meses antes de substituir o CCleaner pela versão infectada com malware:
11 de março de 2017 – Os hackers acessaram inicialmente uma estação de trabalho de um dos desenvolvedores do CCleaner, que estava conectada à rede da Piriform, usando o software de suporte remoto TeamVieweer:
A empresa acredita que os hackers usaram as credenciais do desenvolvedor obtidas a partir de ataques anteriores para acessar a conta do TeamViewer e instalar malware usando VBScript.
12 de março de 2017 – Usando a primeira máquina comprometida no dia anterior, os hackers invadiram um segundo computador conectado à mesma rede e abriram um backdoor com o protocolo Windows RDP (Remote Desktop Service):
Usando o acesso RDP, os atacantes instalaram um arquivo binário e sua carga maliciosa – o malware com dois estágios (uma versão antiga) que depois seria enviado para 40 usuários do CCleaner.
14 de março de 2017 – Os hackers infectaram o primeiro computador com a versão antiga do malware com dois estágios.
4 de abril de 2017 – Os hackers compilaram uma versão personalizada do ShadowPad, um backdoor que permite que os atacantes façam o download de outros softwares maliciosos ou roubem informações do computador alvo. A Avast acredita que este era o terceiro estágio do ataque ao CCleaner.
12 de abril de 2017 – Os hackers instalaram o backdoor em quatro computadores na rede da Piriform (como a biblioteca mscoree.dll) e criaram um servidor (como uma biblioteca .NET runtime).
Entre a segunda quinzena de abril e julho de 2017 – Durante este período, os atacantes preparam a versão do CCleaner infectada com malware e tentaram se infiltrar em outros computadores na rede da Piriform instalando um keylogger em sistemas já comprometidos para roubar credenciais e assim fazer o login com privilégios administrativos via RDP.
18 de julho de 2017 – A Avast Software anuncia a aquisição da Piriform.
2 de agosto de 2017 – Os hackers substituem o CCleaner oferecido no site oficial pela versão infectada com malware, que foi distribuída para milhões de usuários.
13 de setembro de 2017 – Pesquisadores de segurança da Cisco Talos detectaram a versão do CCleaner infectada com malware, que estava sendo oferecida no site oficial do software já há mais de um mês e notificou a Avast sobre o ocorrido.
A versão maliciosa do CCleaner continha um malware com múltiplos estágios criado para roubar dados dos computadores infectados e enviá-los para o servidor de comando e controle dos atacantes.
Embora a Avast Software tenha, com a ajuda do FBI, desativado o servidor de comando e controle dos hackers três dias após ser notificada sobre o incidente, a versão infectada do CCleaner já havia sido baixada por 2,27 milhões de usuários.
A empresa também descobriu que os atacantes foram capazes de instalar um malware com dois estágios em 40 computadores selecionados de empresas de tecnologia como Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai e VMware.
Mais detalhes sobre a investigação da Avast Software podem ser encontrados no post publicado no blog da empresa.
O post Investigação mostra como o CCleaner foi infectado com malware em 2017 apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br