Crédit : Dreamstime
3CX travaille sur un logiciel mise à jour de l’application pour son 3CX DesktopApp, après que plusieurs scientifiques en sécurité ont informé l’entreprise d’une attaque active de la chaîne d’approvisionnement. La mise à jour sera lancée dans les prochaines heures ; d’autre part, la société conseille aux clients d’utiliser plutôt son client PWA (application Web progressive).
« Comme un certain nombre d’entre vous ont découvert que l’application de bureau 3CX contient un malware. Cela affecte le client Windows Electron pour les consommateurs exécutant la mise à jour 7 », a déclaré Nick Galea, PDG de 3CX dans une alerte de sécurité jeudi. . En réaction immédiate, l’entreprise a conseillé aux utilisateurs de désinstaller et de réinstaller l’application.
3CX est une société de développement de logiciels IPBX Voice Over Web Protocol (VoIP). L’application 3CX DesktopApp permet aux utilisateurs de passer des appels, de discuter, de faire des vidéoconférences et d’inspecter la messagerie vocale à l’aide de leur bureau. La société compte plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays. American Express, BMW, Honda, Ikea, Pepsi et Toyota sont quelques-uns de ses clients.
Les scientifiques en sécurité de Sophos, Crowdstrike et SentinelOne ont informé l’entreprise mercredi de l’attaque en cours.
Chaîne d’approvisionnement agressée
Un scientifique a observé une activité nuisible provenant d’une version trojanisée de l’application 3CX DesktopApp. « L’application logicielle est une version signée numériquement du client de bureau softphone pour Windows et est livrée avec une charge utile nuisible », a déclaré Sophos dans son article de blog.
L’application a été abusée par l’acteur du danger pour inclure un programme d’installation qui interagit avec divers serveurs de commande et de contrôle, a déclaré Sophos.
La star du danger a signé une énorme infrastructure d’attaque en février 2022, selon SentinelOne qui suit l’attaque sous le nom de SmoothOperator, ajoutant, « mais nous ne voyons pas encore de liens apparents avec les clusters de danger existants ».
Les chercheurs ont déclaré qu’il s’agit d’une attaque en chaîne qui, dans sa toute première étape, tire le meilleur parti de la stratégie de chargement latéral de DLL pour charger une DLL malveillante développée pour obtenir une charge utile de fichier d’icône.
« Le cheval de Troie 3CXDesktopApp est la toute première phase d’une chaîne d’attaque en plusieurs étapes qui extrait les fichiers ICO ajoutés avec les informations base64 de GitHub et provoque finalement une DLL infostealer de 3ème étape toujours en cours d’évaluation depuis le moment de la composition, » a déclaré SentinelOne.
De même, Crowdstrike a constaté que l’activité malveillante consistait à baliser une infrastructure contrôlée par des acteurs, à déployer des charges utiles de deuxième étape et, dans un petit nombre de cas, à utiliser le clavier.
Sophos note que le chargement côté DLL est créé de telle manière que les utilisateurs ne comprendront aucune distinction lors de l’utilisation de l’application.
Le voleur d’informations peut collecter des informations système et des informations délicates stockées dans les navigateurs Internet Google Chrome, Microsoft Edge, Brave et Mozilla Firefox.
« Le logiciel PBX constitue une cible attrayante pour les acteurs de la chaîne d’approvisionnement ; en plus de suivre les interactions d’une organisation, les stars peuvent modifier le routage des appels ou négocier les connexions en services vocaux depuis l’extérieur », a déclaré SentinelOne.
Une variante de Windows contaminée
Alors que des variantes de l’application fonctionnent sous Windows, Linux, Android et MacOS, la société et les chercheurs en sécurité SentinelOne et Sophos s’accordent à dire que seule la version Windows a été infectée . Crowdstrike, d’autre part, déclare que la version MacOS a également été infectée.
CrowdStrike attribue également l’attaque à l’acteur de danger État-nation Labyrinth Chollima. Maze Chollima est un acteur de danger prolifique nord-coréen connu pour être un sous-ensemble du groupe Lazarus.
Toute l’actualité en temps réel, est sur L’Entrepreneur
