por

Troyanos por todos lados

Se conoce como troyano a un programa malicioso que se esconde dentro de otro que parece inofensivo e incluso es atractivo por su utilidad. Esto hace referencia a la famosa historia de la Iliada en la cuál Ulises construye un caballo de madera que es dejado a las puertas de la ciudad de Troya como una muestra de que los griegos se rendían y marchaban. Los troyanos atraídos por lo impresionante de la estatua y creyendo en su victoria lo introducen dentro de su ciudad dónde celebran su victoria, en esa noche los griegos ocultos dentro del caballo aprovechan para abrir la puerta de la ciudad y permitir el ingreso del ejercito griego que acaba con Troya hasta volverla cenizas.

Lo mismo al parecer ha ocurrido en dos ocasiones durante los últimos meses, el primer caso es el de unas librerías del repositorio oficial de Python PyPI y el segundo caso es el del reconocido programa de optimización de Windows CCleaner que fue reemplazado por una copia con malware en su interior y ha infectado a más de 2 millones de usuarios.

El repositorio oficial para el lenguaje de programación Python, que es ampliamente utilizado ha sido contaminado con paquetes de código modificados, advirtió una autoridad de seguridad informática en Eslovaquia. La autoridad también dijo que los paquetes han sido descargados por desarrolladores de forma involuntaria y que dichos paquetes modificados fueron incorporados al software durante los últimos tres meses.

Se enviaron varios paquetes de código al repositorio oficial Python Package Index, a menudo abreviado como PyPI, y posteriormente se incorporaron al software varias veces desde junio hasta este mes, dijo la Autoridad Nacional de Seguridad de Eslovaquia en un comunicado publicado el jueves de la semana pasada. Las personas que lo hicieron que aún no han podido ser identificadas, además les asignaron nombres a estos paquetes que se parecían mucho a otros utilizados en los paquetes que se encuentran en la biblioteca estándar de Python. Los paquetes contenían exactamente el mismo código que las bibliotecas de upstream excepto un script de instalación, que fue cambiado para incluir un código malicioso (pero relativamente benigno).

Los funcionarios de la autoridad eslovaca dijeron que recientemente notificaron a los administradores de PyPI de dicha actividad maliciosa y ya todos los paquetes identificados fueron retirados inmediatamente. La eliminación de las bibliotecas infectadas, sin embargo, no hace nada para purgarlos de los servidores que los cuales ya hayan sido instalados. La autoridad aconsejó a los desarrolladores y administradores de servidores comprobar si alguno de sus servidores está confiando en los paquetes contaminados. El aviso proporcionó los comandos específicos que se pueden utilizar para realizar la comprobación. En caso de que se encuentren paquetes infectados, los administradores deben eliminarlos inmediatamente y reemplazarlos con el paquete auténticos.

El otro caso de troyano que ha afectado a un gran número de usuarios es la aplicación CCleaner, que si alguien la descargó en su computadora entre el 15 de agosto y el 12 de septiembre de este año desde su sitio web oficial, debe inmediatamente tomar acciones ya que dicha computadora ha sido comprometida.

CCleaner es una aplicación bastante popular en el sistema operativo Windows con más de 2 mil millones de descargas a la fecha. Esta aplicación fue creada por la firma Piriform y recientemente fue adquirida por Avast, que permite a los usuarios limpiar su sistema para optimizar y mejorar el rendimiento.

Investigadores de seguridad de Cisco Talos descubrieron que los servidores de descarga utilizados por Avast para permitir a los usuarios descargar la aplicación se vieron comprometidos por algunos hackers desconocidos, que sustituyeron la versión original del software por una maliciosa y la distribuyeron a millones de usuarios durante un mes.

Este incidente es otro ejemplo de ataque a la cadena de suministro. A principios de este año, los servidores de actualización de una compañía ucraniana llamada MeDoc también fueron comprometidos de la misma manera para distribuir el ransomware Petya, que causó estragos en todo el mundo.

Avast y Piriform han confirmado que la versión de 32 bits de Windows de CCleaner v5.33.6162 y la CCleaner Cloud v1.07.3191 fueron afectados por el malware.

Las versiones maliciosas de CCleaner fueron detectadas el 13 de septiembre. Estas versiones troyanizadas de CCleaner contiene una carga útil de malware en varias etapas que roba datos de equipos infectados y los envía a los servidores de comando y control remoto del atacante.

Además, los hackers que a la fecha no han podido ser identificados, firmaron los ejecutables de instalación troyanizados utilizando una firma digital válida emitida a Piriform por Symantec y utilizaron Algoritmo de Generación de Dominio (DGA), de modo que si el servidor de los atacantes cayera, la DGA podría generar nuevos dominios para recibir y enviar información robada.

Piriform estima que hasta el 3 por ciento de su base de usuarios (aproximadamente 2,27 millones de personas) fueron afectados por la instalación maliciosa.

Se recomienda a los usuarios afectados que actualicen su software de CCleaner a la versión 5.34 o superior, con el fin de proteger sus equipos de ser comprometidos aún más.