Uma versão do cliente desktop do 3CX Voice Over Internet Protocol (VOIP) com assinatura digital e trojanizada está sendo usada para atacar os clientes da empresa em um ataque contínuo de supply chain.
A 3CX é uma empresa de desenvolvimento de software VoIP IPBX, cujo sistema telefônico 3CX é usado por mais de 600.000 empresas em todo o mundo e tem mais de 12 milhões de usuários diários.
A lista de clientes da empresa inclui uma longa lista de empresas e organizações de alto perfil como American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.
Segundo alertas de pesquisadores de segurança da Sophos e CrowdStrike, os atacantes estão direcionando usuários do aplicativo softphone 3CX comprometido tanto do Windows quanto do macOS.
"A atividade maliciosa inclui beaconing para infraestrutura controlada pelo ator, implantação de payloads de segundo estágio e, em um pequeno número de casos, atividade hands-on-keyboard", disse a equipe de intel de ameaças da CrowdStrike.
A atividade do Labyrinth Collima é conhecida por se sobrepor a outros atores de ameaças rastreados como Lazarus Group pela Kaspersky, Covellite pela Dragos, UNC4034 pela Mandiant, Zinc pela Microsoft e Nickel Academy pela Secureworks.
SentinelOne e Sophos também revelaram em relatórios publicados na quinta-feira à noite que o aplicativo desktop 3CX trojanizado está sendo baixado em um ataque de supply chain.
Este ataque de supply chain, denominado 'SmoothOperator' pela SentinelOne, começa quando o instalador MSI é baixado do site da 3CX ou uma atualização é empurrada para um aplicativo desktop já instalado.
Quando o MSI ou a atualização é instalado, ele extrairá um arquivo DLL malicioso ffmpeg.dll e os arquivos DLL d3dcompiler_47.dll, que são usados para realizar a próxima etapa do ataque.
O novo malware é capaz de coletar informações do sistema e roubar dados e credenciais armazenados de perfis de usuários do Chrome, Edge, Brave e Firefox.
O cliente desktop trojanizado da 3CX se conectará a um dos seguintes domínios controlados pelo atacante: azureonlinestorage , msstorageboxes e msstorageazure.
Vários clientes nos fóruns da 3CX relataram que estão recebendo alertas de segurança após instalar as versões Windows 18.12.407 e 18.12.416 do 3CXDesktopApp ou as versões 18.11.1213 e a mais recente em Macs.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...