Los investigadores de ciberseguridad han advertido sobre los actores de amenazas que abusan de una falla en una solución de VoIP (se abre en una pestaña nueva) utilizado por algunas de las marcas más importantes del mundo
Múltiples compañías de ciberseguridad han hecho sonar la alarma en 3CX, incluidas Sophos y CrowdStrike, diciendo que los actores de amenazas están apuntando activamente a los usuarios de clientes de escritorio 3CX comprometidos tanto en Windows como en macOS.
La plataforma VoIP de 3CX tiene más de 600.000 clientes y más de 12 millones de usuarios diarios, según un informe de BleepingComputer, con clientes como American Express, Coca-Cola, McDonald’s, BMW y muchos otros.
Robo de datos confidenciales
Las versiones vulnerables de la aplicación 3CXDesktop incluyen 18.12.407 y 18.12.416 para Windows y 18.11.1213 para macOS. Uno de los clientes troyanizados fue firmado digitalmente a principios de marzo, con un certificado 3CX legítimo emitido por DigiCert, encontró la publicación.
«La actividad maliciosa incluye balizamiento a la infraestructura controlada por el actor, despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, actividad práctica en el teclado», dice CrowdStrike. «La actividad posterior a la explotación más común observada hasta la fecha es la generación de un shell de comando interactivo», se lee en el informe de Sophos.
Otra firma de ciberseguridad, SentinelOne, agregó que el malware es capaz de robar información del sistema, así como datos almacenados en los navegadores Chrome, Edge, Brave y Firefox. Estos a menudo incluyen credenciales de inicio de sesión e información de pago.
Si bien los investigadores no pueden llegar a un consenso sobre la identidad de los atacantes, CrowdStrike sospecha de Labyrinth Collima, un grupo de piratería patrocinado por el estado de Corea del Norte.
«LABYRINTH CHOLLIMA es un subconjunto de lo que se ha descrito como Lazarus Group, que incluye otros adversarios del nexo de la RPDC, incluidos SILENT CHOLLIMA y STARDUST CHOLLIMA».
La compañía reconoció el ataque en su blog y confirmó que está trabajando en una solución:
“Lamentamos informar a nuestros socios y clientes que nuestra aplicación Electron para Windows enviada en la Actualización 7, números de versión 18.12.407 y 18.12.416, incluye un problema de seguridad. Los proveedores de antivirus han marcado el ejecutable 3CXDesktopApp.exe y, en muchos casos, lo han desinstalado”, se lee en el anuncio. “El problema parece ser una de las bibliotecas incluidas que compilamos en la aplicación Windows Electron a través de GIT. Todavía estamos investigando el asunto para poder brindar una respuesta más detallada más tarde hoy”.
“Mientras tanto, nos disculpamos profundamente por lo ocurrido y haremos todo lo que esté a nuestro alcance para compensar este error”.
Vía: BleepingComputer (se abre en una pestaña nueva)