Vilões cibernéticos corromperam a versão 5.33 do CCleaner

Malware no disfarce anti-malware

O CCleaner, uma ferramenta muito conhecida e popular por limpar adware e outros tipos de malware dos computadores e manter os processos otimizados, não conseguiu escapar ao assalto dos criminosos cibernéticos. Todos os utilizadores que descarregaram a versão 5.33 entre 15 de Agosto e 12 de Setembro arriscaram ser enredados pelo malware Floxif.

Mais de 2 milhões de utilizadores nos Estados Unidos, Rússia e Europa Ocidental foram provavelmente afetados devido à popularidade significativa do software nestes países e área. Embora apenas sistema de 32-bit tenham sido afetados, recomenda-se a todos os utilizadores que atualizem o software para a edição mais recente.

O que faz o vírus Floxif?

Os investigadores IT descobriram que o vírus Floxif recolhe dados sobre as especificações técnicas da vítima e transmite-as ao servidor de Comando e Controlo. Os investigadores da Cisco Talos, que identificaram a versão corrompida revelaram também que o malware faz pedidos para o endereço IP específico 216.126.225.148.

No início, a versão corrompida não desencadeou qualquer suspeita pois foi escrito pela assinatura digital válida. Portanto, o malware foi distribuído como a suposta versão 5.33 publicada pela Piriform (o programador original da ameaça agora da propriedade da Avast).

Adicionalmente, a infeção embutida no software esperou por 601 segundos antes da execução. Isto foi feito para escapar ao sandboxing. Interessante que o vírus Floxif executou-se apenas no sistema com direitos administrativos.

Após descarregar e correr o processo de atualização, o malware localiza e substitui o CBkdr.dll existente pela variante idêntica, mas corrompida. Além de rastrear a informação e depois transmiti-la para o servidor, a infeção não exibiu qualquer outro comportamento.

Os especialistas em segurança cibernética suspeitam de como o malware conseguiu passar o sistema de deteção anti-malware da Avast. Alguns especulam que o agressor poderá ter comunicado com o infiltrado que tinha acesso ao desenvolvimento do software.

É seguro descarregar o CCleaner agora?

Embora os instaladores da versão 5.33 ainda estejam disponíveis, o malware foi eliminado com sucesso. A Avast já publicou a versão 5.34 a 13 de Setembro.

Embora os utilizadores normais não tenham tido a hipótese de evitar esta invasão pois a ferramenta fez-se passar pela versão legítima, poderão achar os seguintes conselhos útil:

• mantenha algumas ferramentas de prevenção e eliminação de malware diferentes.
• descarregue-as dos sites oficiais e instale as versões mais recentes assim que forem publicadas.