O grupo de hackers que utilizou o servidor de downloads do CCleaner para distribuir uma versão infectada com malware tinha como alvo pelo menos 20 empresas de tecnologia.

Malware distribuído com o CCleaner tinha empresas de tecnologia como alvo

No início desta semana quando o alerta sobre o comprometimento do CCleaner foi divulgado, os pesquisadores da Avast asseguraram os usuários que o malware não tinha um segundo estágio e que bastava instalar a versão mais recente do software para evitar o problema.

Agora parece que a situação não é bem assim.

Durante uma análise do servidor de comando-e-controle (C2) dos hackers responsáveis pelo malware utilizado para receber as informações transmitidas por ele, pesquisadores de segurança do Talos Group da Cisco descobriram evidências de um segundo estágio do ataque (o módulo backdoor GeeSetup_x86.dll) que visava infectar uma lista específica de computadores com base em seus nomes de domínio.

De acordo com a lista mencionada na configuração do servidor C2, o ataque foi concebido para encontrar computadores dentro de redes de grandes empresas de tecnologia e assim iniciar o segundo estágio. A lista de empresas-alvo pode ser vista abaixo:

Malware distribuído com o CCleaner tinha empresas de tecnologia como alvo

No banco de dados encontrado no servidor os pesquisadores encontraram uma lista com quase 700.000 computadores com a versão comprometida do CCleaner (ainda no primeiro estágio) e cerca de 20 computadores infectados já com o módulo do segundo estágio (o GeeSetup_x86.dll).

Os hackers escolheram os 20 computadores acima para receberem o segundo estágio do ataque com base em seu nome de domínio, endereço IP e outras informações. Os pesquisadores do Talos Group acreditam que o malware seria usado para espionagem industrial.

Possível ligação com grupo chinês
Pesquisadores da Kaspersky afirmam que o malware distribuído com o CCleaner tem código similar às ferramentas utilizadas por um grupo de hackers chinês chamado Axiom, também conhecido como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx ou AuroraPanda.

Já os pesquisadores do Talos Group também notaram que um arquivo de configuração no servidor dos hackers utilizava o fuso horário da China. Os pesquisadores já notificaram as empresas presentes na lista de alvos sobre o ocorrido.

Para quem teve o computador infectado com o segundo estágio, remover a versão comprometida do CCleaner não é suficiente. Os pesquisadores recomendam restaurar o sistema operacional a partir de backups ou de imagens de disco limpas.

  • ChessMONSTER

    Vc não entende absolutamente nada de informática e muito menos de segurança da informação, poucas vezes li tanta m*rda.

    Vc é só mais um representante comercial inútil querendo empurrar lixo para os desavisados.

    Não é preciso muito esforço para encontrar diversos posts seus elogiando esses programinhas podres. Vc me dá nojo.

  • Se você trabalhasse SERIAMENTE com segurança digital, você não cometeria dois erros primários:

    1. Você JAMAIS deve usar software chinês (principalmente os que ficam residentes na memória)
    2. Você JAMAIS deve usar antivírus de empresas que lucram com BANNERS (e não com publicidade)

    Além disso, você precisa compreender que esses antivírus chineses ALUGAM o engine de antivírus decentes (BitDefender, Avira, entre outros) PAGANDO uma anuidade para eles poderem utilizar em seus produtos para ganharem uma CREDIBILIDADE que jamais teriam na área de segurança. NENHUMA dessas empresas lucra com SEGURANÇA, e o antivírus para elas é apenas uma ferramenta para elas ganharem mercado e lucrarem com banners e publicidade – e quando você lucra com isso, quanto mais informações elas obterem do usuário, melhor. Ligue os pontos e a imagem gerada é pavorosa.

    Se vc entendesse A FUNDO sobre segurança, você saberia que a Qihoo é uma das DONAS da PSafe (e não “parceira”), tendo injetado mais de US$ 55 milhões na PSafe. E você já se perguntou porquê eles fizeram isso? Ou, principalmente, como eles vão recuperar esse dinheiro com produtos gratuitos? Estude um pouco isso antes de “indicar” essas porcarias, e o fato de vc indicá-los é absolutamente irrelevante pois seu conhecimento sobre segurança digital é bastante limitado.

    Por fim, obviamente você mente ao dizer que “trabalha com segurança há 20 anos”. Dezenas de mensagens suas foram bloqueadas pois você utilizava comentários apenas para elogiar o lixo da PSafe, e em um único dia você postou 5 comentários iguais sobre essa porcaria em tópicos diferentes.

    Mas não se sinta mal por isso, pois mentir e enganar é apenas uma estratégia de marketing dos softwares chineses :) A PSafe já fez isso antes aqui no BABOO, e não duvido que faça novamente no futuro. Isso chama-se FALTA DE ÉTICA, mas obviamente eles aprenderam com seus donos chineses que isso é irrelevante. Patético.

    Meu trabalho aqui é SÉRIO e não gosto de perder tempo com farsas. Poste suas “indicações” patéticas no Tecmundo, Baixaki, Facebook & afins pois ali certamente eles vão te levar a sério.

    Aliás, quando você enviar seu relatório para a PSafe indicando quantos posts você fez e em quais sites (afinal eles precisam disso para transferirem $$ para a sua conta corrente), coloque uma observação dizendo o seguinte:

    “infelizmente o blog BABOO leva a sério o conteúdo dos comentários dali, e como ele tem décadas de experiência em segurança digital, ele sabe dos nossos trambiques e sabe que nossos “produtos de segurança” são apenas um disfarce para podermos colher todos os dados dos dispositivos dos usuários para ganharmos dinheiro com isso. Ele não é tão otário quanto os outros pois ele realmente quer ajudar seus internautas. Eu sugiro não perdermos mais tempo ali.”

    THE END

  • Você está citando os PIORES antivírus do mercado: todos eles são chineses (PSafe é a Qihoo brasileira) e sem nenhuma confiabilidade. Eles já eram uma praga há uns anos e continuam sendo hoje em dia. Desinstale essas tranqueiras e instale antivírus de empresa confiável que trabalha SOMENTE com segurança: Kaspersky, BitDefender, Panda, Avira, ESET, etc..

  • Gilmar D Araújo

    Baboo, O desenvolvedor chinês Cheetah Mobile, usa engine de terceiros nos seus apps de segurança?. O AV McAfee são bons pra PC e Smartfhone Android? Ou no Android n precisa de AVs.

  • Angela Alves

    Baboo, tu pode me dizer qual o vpn pago mais seguro para android? Gosto sempre de saber sua opiniao

  • Não existe “idioma da informática”. A melhor literatura sobre TI (e usualmente qualquer outro assunto) está em INGLÊS, então o domínio desse idioma é importantíssimo para você evoluir profissionalmente. Se um expert francês escrever um artigo para ensinar as pessoas, ele escreverá em inglês. Idem para experts de qualquer outro país que não seja EUA.

    Eu mesmo estou regravando em inglês meus dez principais vídeos em inglês justamente para que os “especialistas” e youtubers de outros países aprendam corretamente…

    • Alexandre

      eu sei que não existe “idioma da informática” e se vc prestar atenção no que eu escrevi, vc vai olhar que eu coloquei entre aspas como modo de falar… rsrsrs!!!
      sobre o restante que vc falou eu concordo que a pessoa tem que aprender a falar outro idioma se quiser sobreviver nesse mundo.

    • Concordo, é claro que dominar o INGLÊS é super importante para qualquer pessoa e principalmente a um profissional da informática.

  • Cleber

    Você outra vez kkkkkkkkkkk

  • Rodrigo
  • Eu não preciso “promover” o BABOO para nada. A Avast investe MUITO em propagandas aqui no Brasil (inclusive aqui no site e no fórum, aonde eu precisei bloqueá-las) e por isso seu antivírus é muito utilizado e há mais interesse nesse produto.

    Todos os produtos que vc citou, por outro lado, não são massivamente usados, e felizmente meu artigo sobre antivírus chineses é bem direto ao abordar antivírus chineses..

    • Avast

      Todo site precisa de algum meio de se promover para se manter, do contrário perde acesso e se torna inviável mantê-lo. É uma grande falácia dizer que não precisa “promover”. Afinal, quanto mais se promover mais visitas recebe e mais conhecimento propaga.

      Quanto aos produtos que citei não serem massivamente usados, a questão não é a quantidade de usuários. Se a sua intenção é postar sobre um produto apenas para a alertar o usuário já que ele é um lixo, usado massivamente ou não, seguindo sua lógica eles deveria ser postados para servirem de alerta ao usuário.

      Obrigado pelo debate!

  • Começei na Informática no final do ano 2000. Baboo meu primeiro professor online.
    Para mim o trAVAST ja foi bom quando o ícone dele era azul, simples assim. Depois que ficou laranja não prestou mais para nada, até hoje.
    É só isso mesmo, porque depois que meu mestre Baboo se referiu aos “Técnicos de Informática” que não falam inglês como se fossem um LIXO, também não vou chamar o trAVAST de LIXO. :(

    • Isso é invenção sua, pois eu NUNCA escrevi isso! O que eu escrevi abaixo foi “Se você acha que Avast é ótimo, então eu sugiro você conversar com administradores de redes que entendam MESMO de segurança (não aqueles “técnicos de informática” facilmente ludibriados por marketing e que sequer falam inglês) e cuidam de centenas ou milhares de computadores para compreender que basicamente NENHUM deles usa esse produto.”

      • Ok. Mestre, tudo certo. Sei que este deve ter sido mais um tópico ‘desgastante ‘em, rs !!!

  • Avast

    Nenhuma empresa está imune a ataques sofisticados.

  • Não é necessário usar Ccleaner ou semelhante.

  • Cleber

    Um conselho com urgência:
    Se você possuir qualquer software Avast, não perca um minuto, reinstalação do seu Windows é primordial kk
    W8.1 e W10 à Microsoft fornece ferramenta para criar o instalador. Boa sorte a todos kk

    • Cleber

      Ah não se preocupem com a Chave.
      O mesmo estará no Hardware; Seu Windows será ativado “se original”.

    • Alexandre

      eu não entendi, o Avast é bom e protege bem seus usuários.

      • Cleber

        Alexandre se for uma pergunta, Avast não é bom muito pelo contrário. Comece acompanhar o site do “Baboo”.

        • Alexandre

          nada contra o Baboo, mais eu confio nos meus testes com os antivirus testados pela minha pessoa e posso garantir que o Avast é bom sim.

          • Cleber

            Acabei conhecendo o site do “Baboo” exatamente uns quase 3 anos quando o Avast começou a me dar problemas. Faz vista grossa à inúmeros Malware: PUA Generic Trojan Incluindo umas URL’s Malicious que se espalhou em redes através de roteadores.
            Pode apostar confio nos problemas do mundo real pelo qual presenciei amigo.
            Meu primo por parte de meu pai trabalha em analista de sistemas de varejo, e pensa exatamente igual ao Aurélio, devido os problemas que resolve em PC contendo o (Avast).
            Atualmente faço uso do Panda Free que é excelente para meu uso em 2 PC. Meu primo usa o Avira Free, em clientes.
            Como diz o “Baboo” : Bem vindo ao mundo real.

          • Alexandre

            eu conheço o site do Baboo desde que me entendo por gente ou seja desde os meus 14 anos de idade, onde atualmente estou com quase 40 anos… rsrsrs!!!
            o Baboo (tanto o Aurélio como o site) são ótimos, porém eles tem que aprender que muita coisa mudou e está mudando nesse mundo em relação a informática… principalmente as soluções de segurança pelo mundo!!!
            sobre os problemas como ameaças e etc, eu sei o que vc quer dizer e trabalho com informática a mais de 20 anos e já vi casos escabrosos como diz nosso amigo Baboo e com várias soluções de segurança consideradas “as melhores” e na verdade deixando passar várias ameaças por causa disso.
            como tbm já vi muitas soluções consideradas “as piores” salvando muitos computadores de ameaças e ataques hackers pelo mundo, aqui tbm uso o Panda Free em meus computadores e nos meus clientes eu primeiro procuro saber se eles tem alguma solução de segurança favorita e se não tiver… aí eu recomendo o Panda Free para eles!!!

          • Cleber

            Tenho 41 anos e um filho de 21 anos que é Mecatrônico. Sou Eletrotécnico e Eletricista de manutenção industrial e residencial e sou um intusiasta em informática por 15 anos. Então ajudo alguns parentes e amigos em seus PCs, também vi coisas sinistras em sistemas rsrsrs conheço inúmeros sites e blogs, caro amigo o Avast e AVG nunca foi grande coisa más atualmente está igual aos software chinês.
            O Aurélio “Baboo” acredito ser hoje o melhor site em ética no trabalho e compartilhar seus conhecimentos em TI no país.
            Meu primo é profissional em TI em redes de varejo, ele que me indicou este site.

  • Macaco Louco

    Uso a versão 5.31. E agora? Devo restaurar o PC para as configurações de fábrica usando uma imagem do sistema ou não preciso me preocupar?

    • Avast

      Macaco Louco, a versão afetada foi a 5.33, ou seja, o malware foi inserido nessa versão na sua compilação. Sendo assim, você não tem perigo nenhum com a versão 5.31 instalada. Não escute leigos como o Cleber falando bobagens. PARA QUE VOCÊ PRECISARIA FAZER A RESTAURAÇÃO SE A VERSÃO AFETADA FOI A 5.33?

      • Rodrigo

        Quem tem o kaspersky Internet ou total se configurou como recomenda o baboo provavelmente atualizou para 5.33

        • Esse é mais um dos motivos de não haver necessidade obrigatório para atualizar o software para a versão mais recente quando a versão atual está OK e a versão nova não inclui nenhuma atualização de segurança ou bug importante.

          Eu particularmente só atualizo softwares importantes (Office, Adobe..) para a versão mais recente.. os demais eu atualizo 2-3x ao ano..

          • Rodrigo

            Seu vídeo “kaspersky a fundo” está marcada a opção “todas atualizações para aplicativos conhecidos” 2:53 min do vídeo é nela que estou falando, o kaspersky atualiza automaticamente inclusive o ccleaner ou seja, quem estava na 5.32 o kaspersky atualizou para 5.33 e infectou o sistema.

          • Sim, a atualização automática é um problema nesse caso específico, e infelizmente é impossível garantir 100% de segurança no PC..

  • Avast

    Existe a suspeita que um funcionário da Piriform colaborou com o ataque. Isso está em investigação. Deveria postar as informações de forma mais completa e não como uma “crítica” a Avast Software.

    • Cleber

      Faz um favor à todos; Suma daqui !

      • Avast

        Faça um favor, antes de tentar dar uma de inteligente melhore seus argumentos. Comparar uma empresa Europeia com empresas chinesas é de uma burrice sem limites.

        • Cleber

          Diga ao Eugene Kaspersky com essas palavras : Que à Avast Piriform não está ligada a grupos chineses inserindo Malware no CCleaner, eu sou o burrico ou você com todo seu intectualismo não leu à máteria postada.
          Bandidos Cibernéticos, quem os defenda também são.

        • Cleber

          Porque não comparar, a empresa da República Tcheca não estaria à altura de empresas Chinesas.
          Qihoo já foi esclarecido sobre furtos de informações de usuários para lucros financeiros.
          Você leu a matéria Piriform uma empresa Avast envolvida com grupos chineses distribuíram Malware através do CCleaner para Crimes Cibernéticos.
          Me diga Avast já possui uma péssima fama, agora então nem se fala. Bandidos Cibernéticos.

    • Alexandre

      se foi isso esse funcionário tinha que ser demitido por justa causa, até mesmo responder judicialmente… isso se não for preso!!!

  • ואח אוריון

    Sabia que os chineses estavam por trás disso tudo.

  • Ronildo

    Mas gosto de pegar no pé do Avast, né? Tua propaganda barata e ultrapassada não mudam a ideia de quem realmente entende se segurança, tu só engana os bobos aqui do site que não tem nem como um malware funciona, é só ver no melhor fórum se segurança (malwaretips) os testes com o Avast em malware de 0 dias e outras pragas, para confirmar como é um dos melhores AV do mercado, o teu Panda e Avira que tanto defende, é quase sempre infectado, para quem dúvida, já que tratam o baboo como um deus, é só visitar o forum do malwaretips e ir na aba malware hub, lá eles aplicam testes todos os dias com os antivírus com as ameaças mais recentes, aqui lá sim é um banho de realidade pra ti baboo, tuas teorias sem fundamento contra o Avast não fazem o menor sentido. E para finalizar, espero que tu um dia evolua um pouco, porque tuas ideias são ultrapassadas, e comece a olhar de outra forma, porque falar que o Avast é lixo, só mostra a tua ignorância e prova que não entende muito de segurança.

    • Ronildo

      Mas gosta*

    • Michel Pain

      Kkkkk.

    • Rodrigo

      Segundo este site (malwaretips) o Avast foi infectado em um teste hoje, inclusive até o windows defender se saiu melhor, claro que um teste não serve de parâmetro mas essas últimas versões do avast não andam muito boas, cheio de bugs.

    • É preciso separar mito da realidade:

      1. Testes de detecção de malwares novos só servem para mostrar que “pacientes zero” sempre serão infectados por algum malware que não é detectado pelos antivírus. Eles não servem para definir se um antivírus é bom ou ruim.

      2. O fato do Avast ser elogiado no fórum A ou B é irrelevante, pois o que REALMENTE interessa é que ele seja eficiente no MUNDO REAL, sendo no nosso caso NO BRASIL. Para mim, que já analisei computadores em todo tipo de cenário (de multinacional a computador pessoal), ele é fraquíssimo pois praticamente TODOS computadores que analisei que tinham Avast ou AVG instalados e atualizados estavam infectados. Bastou substitui-lo por um antivírus melhor (Panda, por exemplo) e as infecções acabaram.

      3. Eu não sou “Deus”.. sou um profissional com 30 anos de experiência em Windows e segurança que também acha o Avast um LIXO. Se você acha que Avast é ótimo, então eu sugiro você conversar com administradores de redes que entendam MESMO de segurança (não aqueles “técnicos de informática” facilmente ludibriados por marketing e que sequer falam inglês) e cuidam de centenas ou milhares de computadores para compreender que basicamente NENHUM deles usa esse produto. Por que será? :)

      • Tenho contato com diversas empresas onde trabalho e nenhum profissional de TI sequer pensa em usar Avast!

      • Michel Pain

        Qdo postei minha risada na postagem dele, eu até tinha tocado neste mesmo aspecto q vc o fez no item 2: ele se baseia no que ele lê num fórum. Putz, mas e a realidade? Não consigo levar um cidadão desses a sério.

      • Avast

        Baboo, nenhum deles usa esse produto, mas, e se um usuário utiliza a anos e nunca teve problemas com infecção? Você fala como se os produtos da Avast Software estivessem abaixo dos piores do mercado. Você já postou imagens de PC’s infectados com o Avast, mas, até hoje não postou nenhum após a empresa ter inserido o módulo comportamental. Outro detalhe é que apesar de você achar um lixo e ter alguns antivírus considerados melhores por você, os produtos da Avast Software se mantém entre os primeiros em diversos testes de laboratórios especializados. Você pode dizer que esses testes não dizem muito, mas, Kaspersky, Panda, BitDefender se vangloriam ao serem aprovados nesses testes mostrando sua importância para essas empresas e comprovação da eficiência de seus produtos.

      • Avast

        “TODOS computadores que analisei que tinham Avast ou AVG instalados e atualizados estavam infectados.”

        Como eu disse no outro comentário. Todas as imagens que postou foi antes da função de módulo comportamental ser adicionada, entre outras melhorias que não existiam na versão que você viu isso. Aguardo uma comprovação sua até hoje com imagens de infecção com a versão atual.

        • Eu também tenho imagens do seu amado Avast 2017 (pós-AVG) infectado de dois notebooks diferentes que analisei há algumas semanas.. nada mudou..

      • Avast

        Apesar de todas as suas críticas a Avast Software é uma das empresas que mais tem usuários no mundo. Por fim, apenas expressando a minha opinião sem desrespeitar. Você faria bem deixar de postar O LIXO de produto como você diz, no seu site. Afinal, se é um lixo e seu site visa informar o usuário somente com QUALIDADE, não faz sentido nenhum você ainda postar informações de lançamento de novas versões. Você não acha Baboo? Qual a lógica de informar sobre novas versões de UM LIXO?

        • Sim, você tem razão, mas aonde mais teríamos boas discussões sobre o Avast para alertar os internautas sobre esse produto? :)

          O site está sendo totalmente reformulado e a nova versão (completamente diferente da atual) será postada com várias novidades. Entre elas, teremos um artigo detalhado sobre produtos que eu NÃO recomendo (artigo esse que estará replicado no fórum) – e seu amado Avast estará entre os TOP 3.

          Depois da publicação desse artigo, não publicaremos mais nenhuma novidade sobre as “soluções” listadas ali, e você finalmente poderá dormir tranquilamente..

  • anonimous

    “segundo estádio” kkk qual estádio? maracanã? kkk

  • Luiz

    Boa tarde Baboo, não lembro a versão que estava instalada. Era para windows 7. Existe alguma maneira de saber se foi infectado? Uso o Bitdefender Free. Só passar o antivirus basta?