Avast, el desarrollador checo de antivirus, es también el propietario de CCleaner. Ambos programas son usados por cientos de millones de usuarios en todo el mundo, y un grupo de hackers casi consigue modificar uno de ellos e infectarlo con malware.

Casi consiguen modificar CCleaner para meterle malware

Así lo ha revelado hoy la compañía, que ha detallado un ataque a través del cual hubo hackers pululando por su red interna durante semanas. El ataque tenía como finalidad introducir malware en CCleaner. En 2017, un grupo de hackers consiguió infectar el programa (por aquel entonces propiedad todavía de Piriform) durante casi un mes con malware, con 2,27 millones de usuarios afectados. Este malware sólo se activaba en ordenadores pertenecientes grandes compañías como Cisco, Microsoft, Google o NEC, descargando un segundo troyano más peligroso en el caso de ser así. Gracias a ello, “sólo” 40 ordenadores se vieron infectados con este peligroso malware, aunque el primero fue instalado en unos 1,64 millones de ordenadores.

En este caso, Avast afirma que los hackers consiguieron colarse a través de robar las credenciales del VPN de uno de sus trabajadores, donde la cuenta no estaba protegida por ningún mecanismo de verificación en dos pasos. La intrusión fue detectada el 23 de septiembre, y el atacante llevaba intentando acceder a la red interna de la compañía desde el 14 de mayo.

La cuenta del empleado no tenía permisos de administrador, pero el hacker consiguió escalar privilegios hasta que lo consiguió. La compañía detectó rápidamente la intrusión, pero dejaron la cuenta activa para ver qué era lo que el hacker quería hacer observando detenidamente sus acciones.

Los hackers no consiguieron modificar CCleaner

Finalmente, el 15 de octubre solucionaron todo el problema después de auditar todos los lanzamientos previos de CCleaner para comprobar si había habido alguna modificación, y lanzaron una nueva actualización “limpia”. También cambiaron el certificado digital que usaban para firmar las actualizaciones, eliminando el certificado de lanzamientos anteriores para evitar que los hackers lo usaran para firmar actualizaciones falsas del programa en el caso de que se hubieran hecho con el certificado.

Avast afirma que no detectaron ninguna modificación en actualizaciones de CCleaner ni de Avast, por lo que, si habéis bajado alguna versión de la web oficial en el último mes, no habéis descargado una versión modificada con malware. Avast está trabajando actualmente con las autoridades de República Checa y empresas externas de analítica forense para determinar el origen del ataque y poder intentar identificar al atacante.

Según los datos que tienen en la actualidad, no tienen evidencias de que el grupo responsable del ataque sea el mismo que en 2017 consiguió acceder lanzar versiones modificadas de CCleaner con malware. A pesar de ello, afirman que el atacante era bastante experimentado, que iba avanzando con mucha cautela, y que no tenía intención de dejar rastro, por lo que incluso podríamos estar ante un organismo de hackeo controlado por un país. En el ataque de 2017 se cree que el ataque provenía desde China.