O grupo de hackers que utilizou o servidor de downloads do CCleaner para distribuir uma versão infectada com malware tinha como alvo pelo menos 20 empresas de tecnologia.

Malware distribuído com o CCleaner tinha empresas de tecnologia como alvo

No início desta semana quando o alerta sobre o comprometimento do CCleaner foi divulgado, os pesquisadores da Avast asseguraram os usuários que o malware não tinha um segundo estágio e que bastava instalar a versão mais recente do software para evitar o problema.

Agora parece que a situação não é bem assim.

Durante uma análise do servidor de comando-e-controle (C2) dos hackers responsáveis pelo malware utilizado para receber as informações transmitidas por ele, pesquisadores de segurança do Talos Group da Cisco descobriram evidências de um segundo estágio do ataque (o módulo backdoor GeeSetup_x86.dll) que visava infectar uma lista específica de computadores com base em seus nomes de domínio.

De acordo com a lista mencionada na configuração do servidor C2, o ataque foi concebido para encontrar computadores dentro de redes de grandes empresas de tecnologia e assim iniciar o segundo estágio. A lista de empresas-alvo pode ser vista abaixo:

Malware distribuído com o CCleaner tinha empresas de tecnologia como alvo

No banco de dados encontrado no servidor os pesquisadores encontraram uma lista com quase 700.000 computadores com a versão comprometida do CCleaner (ainda no primeiro estágio) e cerca de 20 computadores infectados já com o módulo do segundo estágio (o GeeSetup_x86.dll).

Os hackers escolheram os 20 computadores acima para receberem o segundo estágio do ataque com base em seu nome de domínio, endereço IP e outras informações. Os pesquisadores do Talos Group acreditam que o malware seria usado para espionagem industrial.

Possível ligação com grupo chinês
Pesquisadores da Kaspersky afirmam que o malware distribuído com o CCleaner tem código similar às ferramentas utilizadas por um grupo de hackers chinês chamado Axiom, também conhecido como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx ou AuroraPanda.

Já os pesquisadores do Talos Group também notaram que um arquivo de configuração no servidor dos hackers utilizava o fuso horário da China. Os pesquisadores já notificaram as empresas presentes na lista de alvos sobre o ocorrido.

Para quem teve o computador infectado com o segundo estágio, remover a versão comprometida do CCleaner não é suficiente. Os pesquisadores recomendam restaurar o sistema operacional a partir de backups ou de imagens de disco limpas.