Após conseguir barrar o malware que infectou uma versão oficial do software CCleaner, utilizado para melhorar a performance de computadores, começaram as investigações para encontrar os responsáveis por algo tão sério e os motivos que o levaram a isso.
O blog de segurança Talos Intelligence, de propriedade da Cisco Systems, divulgou um estudo preliminar que aponta que ao menos 20 empresas eram alvos da invasão. Ao analisar o backdoor fornecido pelo malware, os investigadores encontraram uma lista de domínios que os criadores do malware inseriram no código para "segmentar o ataque".
Aparentemente, empresas como Samsung, HTC, Intel, Google e a própria Cisco eram os alvos especificados pelo backdoor. O programa recolhia dados sigilosos desses computadores e enviava para servidores controlados pelos hackers. Assim como podiam recolher, eles também poderiam fazer tais computadores baixarem conteúdo malicioso a qualquer momento.
A versão infectada foi identificada como a 5.33.6162 (32 bits), lançada em 15 de agosto, e foi baixada pelo menos em 2,27 milhões de computadores. Uma versão do CCleaner Cloud também foi infectada (a 1.07.3191), mas baixada apenas cinco mil vezes.
Em nota oficial, a Avasta, dona da empresa que desenvolve o CCleaner, rebate as conclusões do estudo e afirma que atualmente apenas 730 mil computadores rodam a versão infectada. A nota afirma que "a nossa investigação indica que conseguimos desarmar a ameaça antes que ela pudesse causar qualquer dano", e a Avasta desligou o servidor utilizado por hackers.
Enquanto a Cisco recomenda restaurar o Windows para uma versão anterior, a Avast aconselha apenas atualizar o software. As duas empresas parecem estar em pé de guerra: uma desmente as informações da outra, e a Avast afirmou que ela própria já conhecia detalhes do malware dois dias antes da divulgação do estudo.
Mas o caso ainda não terminou. Nenhuma das duas empresas parecem capazes de responder o principal: como hackers conseguiram injetar código malicioso em uma versão oficial do CCleaner e por que isso foi descoberto apenas um mês depois? Até funcionários internos da Piriform são suspeitos, mas a Avast afirma que o caso ainda está em investigação.
É possível ler o estudo da Talos, com todos os detalhes técnicos, no blog oficial da empresa.