CampaƱa de distribuciĆ³n de software troyanizado contra 3CX DesktopApp

Fecha de publicaciĆ³n: 31/03/2023

Importancia:
CrĆ­tica

Recursos afectados:

  • Electron Windows AppĀ publicado en la Update 7, versiones:
    • 18.12.407;
    • 18.12.416.
  • Electron Mac App, versiones:
    • 18.11.1213;
    • 18.12.402;
    • 18.12.407;
    • 18.12.416.

Este software estĆ” disponible para Windows, macOS, Linux y dispositivos mĆ³viles Android o iOS, pero las versiones maliciosas conocidas hasta ahora con un binario troyanizado son para Windows y macOS.

DescripciĆ³n:

CISA ha informado una campaƱa en la cadena de suministro para la distribuciĆ³n de software malicioso denominada Smooth Operator, destinado a conferencias de voz y video, incluyendo el enrutamiento de llamadas a travĆ©s de centralitas automĆ”ticas privadas (PABX). En concreto, las compaƱƭas de ciberseguridad SentinelOne y CrowdStrike han publicado informes en los que identifican binarios del producto 3CX DesktopApp troyanizado, y que permitirĆ­an a un atacante realizar una segunda etapa de ataques contra los usuarios afectados.

SoluciĆ³n:

Se recomienda no instalar ninguna versiĆ³n de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaƱa o aquellas no han sido modificadas.

Adicionalmente, se recomienda a los usuarios de este producto revisar los informes de las compaƱƭas SentinelOne y CrowdStrike con los indicadores de compromiso (IoC) detectados para localizar posibles actividades maliciosas en sus sistemas o en los binarios de instalaciĆ³n afectados que se conocen.

El fabricante recomienda utilizar la aplicaciĆ³n PWA en sustituciĆ³n deĀ DesktopApp.

Detalle:

La informaciĆ³n conocida por las compaƱƭas SentinelOne y CrowdStrike identifica la existencia de un binario para la instalaciĆ³n del software legitimo y firmado digitalmente de 3CX DesktopApp. En dicho binario se han podido observar modificaciones con capacidades de un troyano que permitirĆ­an una actividad maliciosa por parte de un atacante desde una infraestructura remota controlada por Ć©l, pudiendo desplegar otras cargas maliciosas de segunda etapa, e incluso capturas de teclado, informaciĆ³n de navegaciĆ³n, etc.

El troyano distribuido utiliza para esto varias shellcode ejecutadas desde el espacio de almacenamiento dinĆ”mico, desde el cual se carga una DLL a travĆ©s de una explotaciĆ³n con nombre ‘DllGetClassObject‘. En esta etapa a su vez se descargan diferentes archivos de iconos desde un repositorio alojado en GitHub, que contienen informaciĆ³n codificada en BASE64 para una posterior descarga de otras capacidades.

La compaƱƭa CrowdStrike asocia como probable actor de esta campaƱa a un actor malicioso de un estado o naciĆ³n conocido como “LABYRINTH CHOLLIMA”.

Encuesta valoraciĆ³n

Etiquetas:
Apple, Comunicaciones, Malware, Navegador, Privacidad, Windows

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.