Entre os dias 15 de agosto e 12 de setembro, uma versão adulterada do aplicativo CCleaner, da Piriform (propriedade da Avast), foi distribuída com um “backdoor”, brecha que cria um canal de comunicação entre o computador afetado e o hacker responsável, permitindo a captura de dados do computador da vítima e a instalação remota de vírus e outros softwares maliciosos.

SIGA @gpnovaeco no Twitter

De acordo com a Avast, 2,27 milhões de usuários foram afetados pelo problema. A empresa afirmou, ainda, que não há motivo para pânico e pediu aos usuários para que atualizem o aplicativo para a última versão, a 5.34, ou posterior. O CCleaner Cloud, versão corporativa da ferramenta, também foi afetado, mas, como ele se atualiza automaticamente, seus usuários já estão fora de risco.

O problema foi descoberto pelo Talos, grupo de inteligência contra ameaças digitais da Cisco. Seus sistemas de detecção automática de ameaças dispararam um alerta para a versão 5.33 do CCleaner. Ao analisarem o instalador do aplicativo, os pesquisadores descobriram que, além dele, o arquivo baixado continha software malicioso capaz de enviar dados do computador infectado e de encontrar caminhos alternativos caso o principal fosse bloqueado ou saísse do ar. Como era assinado pela Avast, a adulteração passou ilesa por programas antivírus, pois consideraram-no legítimo.

Paul Yung, vice-presidente de produtos da Piriform, escreveu em um blog que “até onde sabemos, conseguimos desativar a ameaça antes que ela pudesse causar qualquer dano”. Pesquisadores independentes não compartilham dessa confiança. À Forbes, Martijn Grooten, editor da publicação de segurança Virus Bulletin, disse que “isso é muito grave. Claro, pode ser que ele realmente apenas roubasse ‘dados não sensíveis’, mas poderia ser útil para ataques direcionados posteriores contra usuários específicos”.

Os pesquisadores do Talos disseram que se trata de “um ótimo exemplo de até onde os atacantes estão dispostos a ir nas tentativas de distribuir software malicioso a organizações e indivíduos ao redor do mundo. Por explorar a relação de confiança entre distribuidores de software e seus usuários, os atacantes se beneficiam da confiança de usuários nos arquivos e servidores usados para distribuir atualizações”. Eles acreditam que a adulteração foi possível com o comprometimento de ferramentas ou do ambiente de desenvolvimento da Piriform.

CCleaner

O CCleaner é um popular aplicativo da Piriform usado na manutenção de sistemas Windows. Ele vasculha o sistema em busca de arquivos que podem ser apagados a fim de liberar espaço, e cumpre outras rotinas de manutenção. Segundo a Avast, o aplicativo já foi baixado mais de 2 bilhões de vezes e semanalmente registra 5 milhões de downloads.

Em julho deste ano, a Avast, empresa de segurança com sede em Praga, na República Checa, adquiriu a Piriform por um valor não divulgado.

Além do CCleaner, que também tem versões para macOS e Android, a Piriform tem outros aplicativos de manutenção: Defraggler (para desfragmentação do disco), Recuva (recuperação de arquivos apagados) e Speccy (identificação de componentes de computadores).

Outros casos

A adulteração do CCleaner não foi o primeiro caso do tipo. Em março de 2016, o cliente de BitTorrent de código livre Transmission trouxe de carona, por alguns minutos, um poderoso ransomware para macOS, que codificava todos os arquivos do sistema e exigia o pagamento de um resgate , no valor de um bitcoin (na época, cerca de US$ 400), para supostamente liberar novamente o acesso a eles.

Antes disso, em setembro de 2015, uma versão pirata modificada do Xcode, a ferramenta da Apple usada para a criação de aplicativos para iPhone, passou a injetar alterações nos apps programados por ele. Esses apps passaram a exibiam alertas falsos, ler informações dos dispositivos onde eles fossem instalados e visualizar senhas copiadas de gerenciadores do tipo.

A maioria dos aplicativos afetados pelo uso do chamado XcodeGhost ficou confinada na China, mas alguns, como o app de leitura de cartões de visita CamCard, também foram distribuídos em outros países. A Apple desativou todos os apps afetados pela falha e orientou os desenvolvedores a se aterem à versão oficial do Xcode.

Outro lado

Em nota enviada à imprensa, a Cisco afirma que o número inicial de usuários que usaram o software CCleaner distribuído com um “backdoor” foi de 2,27 milhões. E, segundo a Cisco, apenas 730 mil permanecem na versão 5.33.6162 (a com um “backdoor”).

A Cisco ressalta que o “incidente afetou apenas usuários da versão 5.33.6162 instalada no Windows de 32 bits”. Ainda sengundo a Cisco, esses usuários “estão seguros agora, pois a nossa investigação indica que conseguimos desarmar a ameaça antes que ela pudesse causar qualquer dano”.

*Matéria atualizada às 17h24 para incluir o posicionamento da Cisco