Há provas que mostram que o malware via CCleaner infetou 20 computadores de uma lista selecionada de grandes tecnológicas como HTC, Samsung, Sony, VMWare, Intel, Cisco ou Microsoft. A empresa de segurança Talos estima que tenham sido infetadas mais de 700 mil máquinas e a backdoor esteve ativa durante 31 dias, pelo que a Avast calcula que o número de infetados esteja, pelo menos, na casa das centenas, noticia o ArsTechnica.
A fase crítica do ataque terá acontecido entre 12 e 16 de setembro, quando foram atacados 20 computadores de grandes empresas tecnológicas. Nesta fase, os atacantes mudaram de método, aplicando um código complexo, dissimulado e que usa truques anti-debugging e anti-emulação para se esconder ainda mais. Um investigador da Talos explicou que o código tem uma fase “sem ficheiros”, onde o malware é injetado diretamente na memória do computador, sem ter de ser escrito no disco, o que dificulta a sua deteção e remoção.
O ataque foi descarregado nas máquinas com Windows 32 bits, nas versões CCleaner 5.33.6162 ou CCleaner Cloud 1.07.3191 e a equipa da Talos sugere mesmo formatar o disco rígido no caso de estar no lote das vítimas, uma vez que ainda não provas suficientes de que desinstalar a versão do programa seja suficiente para eliminar a ameaça.
Ainda não há evidências de quem possa estar por trás deste ataque, embora alguns investigadores apontem para grupos chineses porque os servidores de comandos aparentavam estar configurados com a hora de Pequim.
