La evidencia emergente sugiere que los piratas informáticos que manipularon la aplicación 3CX para entregar malware lo hicieron para infiltrarse en las empresas de criptomonedas, según el proveedor de antivirus Kaspersky.
Kaspersky publicó hoy un informe(Se abre en una nueva ventana) examinando una puerta trasera que los piratas informáticos estaban distribuyendo selectivamente a las computadoras instaladas con la aplicación de escritorio 3CX secuestrada. Encontró un vínculo común entre la puerta trasera y las víctimas del malware.
«Descubrimos que el actor de amenazas se dirigió específicamente a las empresas de criptomonedas», dice la compañía, citando su propia telemetría, que incluye a los usuarios de la protección antivirus de Kaspersky.
3CX brinda servicios de VoIP a miles de empresas, incluidas las principales marcas como McDonald’s, Coca-Cola y BMW. Por lo tanto, el ataque ha generado temores de que una amplia gama de empresas se vean afectadas, especialmente desde que las empresas de antivirus detectaron una oleada de infecciones maliciosas que ocurrieron a través de aplicaciones de escritorio legítimas de 3CX la semana pasada.
De hecho, se descubrió que el 3CX contaminado distribuía un programa de robo de información capaz de recopilar datos del navegador de una computadora. Sin embargo, el informe de Kaspersky dice que el pirata informático también lanzó una carga útil adicional para máquinas seleccionadas en forma de puerta trasera conocida como «Gopuram».
Pero según los propios datos de la empresa, Gopuram se implementó «en menos de diez máquinas infectadas». Una vez que se instala, la puerta trasera permite que un pirata informático secuestre en secreto una computadora. Las características incluyen la capacidad de ver sistemas de archivos y crear procesos maliciosos en una máquina infectada.
Recomendado por Nuestros Editores
La presencia de Gopuram también agrega más evidencia de que el hackeo de 3CX está conectado a un notorio grupo de hackers patrocinado por el estado de Corea del Norte, llamado Lazarus, que tiene apetito por robar criptomonedas. En 2020, Kaspersky también descubrió una puerta trasera de Gopuram en una máquina de una empresa de criptomonedas que había sido instalada con otra puerta trasera, denominada AppleJeus.(Se abre en una nueva ventana)que Estados Unidos ha atribuido a Corea del Norte.
Empresas independientes de ciberseguridad Crowdstrike(Se abre en una nueva ventana) y Sophos(Se abre en una nueva ventana) también han encontrado evidencia que vincula el ataque a la cadena de suministro de 3CX con Lazarus. Sin embargo, aún no está claro cómo los piratas lograron infiltrarse en la empresa de VoIP para entregar el malware. Mientras tanto, 3CX contrató al equipo de seguridad cibernética Mandiant para investigar el incidente e insta a(Se abre en una nueva ventana) clientes para desinstalar la aplicación de escritorio de la empresa.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.