Campaña de distribución de software troyanizado contra 3CX DesktopApp

Campaña de distribución de software troyanizado contra 3CX DesktopApp

La campaña maliciosa Smooth Operator detectada por CISA ha puesto en riesgo a varios usuarios del software 3CX DesktopApp. Este software afectado se encuentra en las versiones para Windows y macOS, y se ha distribuido en diferentes binarios troyanizados.

El software malicioso ha sido diseñado para permitir que los atacantes puedan realizar una segunda etapa de ataques contra los usuarios afectados, lo que puede llevar a una serie de actividades maliciosas, como la captura de teclado y la recopilación de información de navegación.

Índice
  1. Recursos afectados:
  2. Descripción:
  3. Solución:
    1. [Actualización 03/04/2023]
  4. Detalle:

Recursos afectados:

Se han detectado versiones maliciosas del software Electron Windows App, publicado en la Update 7, con las versiones 18.12.407 y 18.12.416, y del Electron Mac App, con las versiones 18.11.1213, 18.12.402, 18.12.407 y 18.12.416. Este software está disponible para dispositivos móviles Android o iOS, así como para Windows, macOS y Linux, pero las versiones maliciosas conocidas hasta ahora con un binario troyanizado solo se han encontrado en Windows y macOS.

Descripción:

La agencia estadounidense CISA ha informado sobre una campaña en la cadena de suministro que distribuye software malicioso llamado "Smooth Operator". Este software se dirige a conferencias de voz y video, incluyendo el enrutamiento de llamadas a través de centralitas automáticas privadas (PABX). En concreto, las compañías de ciberseguridad SentinelOne y CrowdStrike han publicado informes en los que identifican binarios del producto 3CX DesktopApp troyanizado. Estos binarios permitirían a un atacante realizar una segunda etapa de ataques contra los usuarios afectados.

Solución:

Se recomienda no instalar ninguna versión de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaña o aquellas que no han sido modificadas.

Además, se recomienda a los usuarios de este producto revisar los informes de las compañías SentinelOne y CrowdStrike para identificar los indicadores de compromiso (IoC) y localizar posibles actividades maliciosas en sus sistemas o en los binarios de instalación afectados que se conocen.

El fabricante recomienda utilizar la aplicación PWA en lugar de DesktopApp.

[Actualización 03/04/2023]

Para los usuarios que tengan instalaciones "Self Hosted" y "On Premise", se recomienda instalar la actualización siguiendo los siguientes pasos:

  1. Iniciar la consola de gestión.
  2. Ir a la sección de actualizaciones.
  3. Descargar Mac Desktop App - 18.12.422.
  4. Descargar Windows Desktop App - 18.12.422.

Detalle:

Las compañías SentinelOne y CrowdStrike han identificado un binario para la instalación del software legítimo y firmado digitalmente de 3CX DesktopApp, el cual ha sido modificado para incluir capacidades de un troyano que permite a un atacante realizar actividades maliciosas desde una infraestructura remota controlada por él. Esto incluye desplegar otras cargas maliciosas de segunda etapa, e incluso capturar teclas, información de navegación, etc.

El troyano distribuido utiliza varias shellcode ejecutadas desde el espacio de almacenamiento dinámico, desde el cual se carga una DLL a través de una explotación con nombre 'DllGetClassObject'. En esta etapa, a su vez, se descargan diferentes archivos de iconos desde un repositorio alojado en GitHub, que contienen información codificada en BASE64 para una posterior descarga de otras capacidades.

La compañía CrowdStrike asocia a un actor malicioso de un estado o nación conocido como "LABYRINTH CHOLLIMA" como el probable responsable de esta campaña.

 

Si quieres conocer otros artículos parecidos a Campaña de distribución de software troyanizado contra 3CX DesktopApp puedes visitar la categoría Ciberataques.

Luis Alberto Agea Durán

También te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu puntuación: Útil

Subir