Los ciber villanos han corrompido la versión 5.33 de CCleaner

Un malware con el disfraz de anti-malware

CCleaner, una herramienta ampliamente conocida y popular de limpieza de ordenadores – de adware y otros tipos de malware – y de mantenimiento y optimización de procesos, no ha logrado escaparse del ataque de los ciber criminales. Todos los usuarios que hayan descargado su versión 5.33 entre el 15 de Agosto y el 12 de Septiembre, se han arriesgado a ser atacados por el malware Floxif.

Casi 2 millones de usuarios en EE.UU, Rusia y el Este de Europa muy probablemente hayan quedado afectados debido a la gran popularidad de este programa en estos países. Aunque solo los sistemas de 32-bits han sido afectados, se recomienda a todos los usuarios actualizar el programa a su última versión.

¿Qué es lo que hace el virus Floxif?

Los investigadores en seguridad han descubierto que el virus Floxif reúne datos sobre las especificaciones técnicas de los ordenadores de las víctimas y los transfiere a un servidor remoto de Comando y Control. Los investigadores de Cisco Talos, los cuales han identificado la versión corrupta, también han revelado que el malware realiza peticiones a una dirección específica de IP 216.126.225.148.

Al principio, la versión corrompida no generaba ninguna sospecha ya que estaba escrita bajo una firma digital válida. Por ello, el malware se entregó bajo la supuesta versión 5.33 publicada por Piriform (el desarrollador original de la amenaa; ahora propiedad de Avast).

Adicionalmente, la infección estaba incrustada en el programa y esperaba 601 segundos antes de ejecutarse. Esto lo hizo para escapar del «sandboxing«. Interesantemente, el virus Floxif se ejecutaba solo en el sistema con permisos de administrador.

Tras descargar y ejecutar el proceso de actualización, el malware localiza y reemplaza el archivo CBkdr.dll existente con una variante idéntica aunque corrompida. Además de rastrear la información y luego la transmitirla al servidor, la infección no mostraba ningún otro comportamiento.

Los especialistas en ciber seguridad sospechan de cómo el malware ha logrado sobrepasar el sistema de detección anti-malware de Avast. Algunos especulan que los atacantes pueden haberse comunicado con algún empleado que tenía acceso al desarrollo del programa.

¿Es seguro descargar ahora CCleaner?

Aunque los instaladores de la versión 5.33 aún están disponibles, el malware ha sido exitosamente eliminado. Avast ya ha publicó la versión 5.34 el 13 de Septiembre.

Los usuarios normales no han tenido ninguna posibilidad de prevenir la invasión, ya que la herramienta parecía ser una versión legítima. Sin embargo, estos consejos pueden ser de utilidad:

• mantén un par de programas de prevención y eliminación de malware instaladas en tu ordenador
• descárgalas desde sitios oficiales e instala las últimas versiones en cuanto sean publicadas.