Ataque a la cadena de suministro para la distribución de malware en 3CX DesktopApp

Fecha de publicación: 31/03/2023

Importancia:
Crítica

Recursos afectados:

• Electron Windows App publicado en la Update 7, versiones:
  • 18.12.407;
  • 18.12.416.
• Electron Mac App, versiones:
  • 18.11.1213;
  • 18.12.402;
  • 18.12.407;
  • 18.12.416.

Se trata de las versiones para Windows y macOS. El software se encuentra también disponible para Linux y dispositivos móviles, pero estas versiones no se han visto afectadas por el momento.

Descripción:

CISA ha publicado una alerta para informar sobre una campaña de ataque a la cadena de suministro para la distribución de un malware de tipo troyano, que sustituye a las versiones legítimas del producto DesktopApp del fabricante 3CX.

Este producto está orientado a conferencias de voz y vídeo y permite enrutar llamadas de centralitas privadas. Este ataque a 3CX DesktopApp compromete a los usuarios, de manera que los atacantes podrían realizar una segunda etapa de ataques contra los usuarios que hayan sido afectados para acometer más acciones maliciosas.

Solución:

El fabricante recomienda utilizar la aplicación web (PWA) en sustitución de DesktopApp, es decir, se debe acceder a 3CX a través de un navegador, en lugar de con la aplicación de escritorio.

Se aconseja no instalar ninguna versión de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaña.

Adicionalmente, se sugiere a los usuarios del producto afectado revisar los informes de las compañías SentinelOne y CrowdStrike, en caso de que se quiera obtener más información.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

• Política de actualizaciones de software,
• Minimiza los riesgos de un ataque: ¡actualiza el software!,
• Buenas prácticas en el área de informática,
• Evalúa los riesgos de tu empresa en tan solo 5 minutos,
• Cómo prevenir incidentes en los que intervienen dispositivos móviles.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Detalle:

La información conocida por las compañías SentinelOne y CrowdStrike identifica la existencia de un archivo para la instalación del software legítimo y firmado digitalmente de 3CX DesktopApp.

En ese fichero se han podido apreciar modificaciones sustanciales con capacidades de troyanización y que permitirían una actividad maliciosa por parte de un atacante desde una infraestructura remota controlada por él, pudiendo realizar acciones maliciosas adicionales, como capturas de teclado, información de navegación…

Así notifica el cortafuegos de Windows Defender la detección de este software malicioso que ha hecho saltar las alarmas:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017, y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Etiquetas:
Apple, Comunicaciones, Malware, Navegador, Privacidad, Windows