Ccleaner es una de las aplicaciones más completas para limpiar nuestro Windows y llevar a cabo las tareas de mantenimiento básicas. Hace escasos minutos, la empresa de seguridad Talos, de Cisco, acaba de publicar un informe en el que informa de una de las versiones de CCleaner comprometidas que están siendo utilizadas por delincuentes para distribuir el malware Nyetya entre los usuarios que confían en ellas.

Normalmente, las desarrolladoras suelen firmar digitalmente sus aplicaciones de manera que los usuarios finales puedan saber que están utilizando una aplicación legítima. Sin embargo, por diversas causas, puede que estas firmas caigan en manos de delincuentes, quienes las utilizan para firmar malware y hacerlo pasar por software legítimo, como acaba de ocurrir con este limpiador y optimizador de Windows.

Durante las pruebas de un nuevo software para la mitigación de exploits, los expertos de Talos detectaron una serie de avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33. Estas versiones maliciosas han estado llegando a los usuarios a través de los servidores de descarga legítimos sin levantar sospechas durante bastante tiempo y, aunque la versión de CCleaner es legítima, el propio instalador es quién oculta la sorpresa.
Aunque no se han facilitado demasiados detalles sobre cómo ha sido posible suplantar la firma del instalador de CCleaner, curiosamente este software utiliza una de las firmas inseguras de Symantec, de las que llevamos hablando ya algún tiempo. Aunque lo más probable es que los delincuentes hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los delincuentes podrían haber suplantado otras aplicaciones sin nisiquiera darnos cuenta de ello.
Cuando los expertos de seguridad de Talos analizaron el instalador de CCleaner, que se había descargado desde los servidores de la compañía, pudieron encontrar que, además de descargar este limpiador de Windows, el propio instalador descargaba un payload del tipo “Domain Generation Algorithm“, payload que, entre otras cosas, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.

Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, estaban comprometidas por este malware, y todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12 de septiembre están infectados por este malware.

Los expertos de seguridad aseguran que los servidores de control ya fueron cerrados el pasado 15 de septiembre, por lo que la amenaza está, más o menos, controlada. De todas formas, se recomienda actualizar cuanto antes a la última versión, CCleaner 5.34, la cual ha eliminado ya este malware y vuelve a ser, aparentemente, segura.