3CX dijo que es trabajando en una actualizaci\u00f3n de software<\/a> para su aplicaci\u00f3n de escritorio despu\u00e9s de que varios proveedores de seguridad cibern\u00e9tica hicieran sonar la alarma sobre lo que parece ser un ataque activo a la cadena de suministro que utiliza instaladores manipulados y firmados digitalmente del popular software de conferencias de voz y video para apuntar a los clientes intermedios.<\/p>\n “La aplicaci\u00f3n de escritorio 3CX troyanizada es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO adjuntos con datos Base64 de GitHub y, en \u00faltima instancia, conduce a una DLL de robo de informaci\u00f3n de tercera etapa”, investigadores de SentinelOne dicho<\/a>.<\/p>\n La firma de ciberseguridad est\u00e1 rastreando la actividad bajo el nombre Operador suave<\/strong>afirmando que el actor de amenazas registr\u00f3 una infraestructura de ataque masivo desde febrero de 2022. Hay indicios de que el ataque puede haber comenz\u00f3<\/a> alrededor del 22 de marzo de 2023.<\/p>\n 3CX, la empresa detr\u00e1s de 3CXDesktopApp, reclamos<\/a> tener m\u00e1s de 600.000 clientes y 12 millones de usuarios en 190 pa\u00edses, algunos de los cuales incluyen nombres tan conocidos como American Express, BMW, Honda, Ikea, Pepsi y Toyota, entre otros.<\/p>\n Si bien el cliente PBX 3CX est\u00e1 disponible para m\u00faltiples plataformas, datos de telemetr\u00eda<\/a> muestra que los ataques observados hasta ahora se limitan al cliente de Windows Electron (versiones 18.12.407 y 18.12.416) y a las versiones macOS del sistema telef\u00f3nico PBX.<\/p>\n La cadena de infecci\u00f3n, en pocas palabras, aprovecha la T\u00e9cnica de carga lateral de DLL<\/a> para cargar una DLL no autorizada (ffmpeg.dll) que est\u00e1 dise\u00f1ada para recuperar una carga \u00fatil de archivo de icono (ICO). El repositorio de GitHub alojar el archivo<\/a> desde entonces ha sido derribados<\/a>.<\/p>\n La carga \u00fatil final es un ladr\u00f3n de informaci\u00f3n capaz de recopilar informaci\u00f3n del sistema y datos confidenciales almacenados en los navegadores Google Chrome, Microsoft Edge, Brave y Mozilla Firefox.<\/p>\n El muestra de macOS<\/a> (un archivo de 381 MB), seg\u00fan investigador de seguridad Patrick Wardle<\/a>lleva una firma v\u00e1lida y est\u00e1 certificado por Apple, lo que significa que se puede ejecutar sin que el sistema operativo lo bloquee.<\/p>\n La aplicaci\u00f3n maliciosa, similar a la contraparte de Windows, incluye un binario Mach-O llamado libffmpeg.dylib<\/a> que est\u00e1 dise\u00f1ado para comunicarse con un servidor externo “pbxsources[.]com” para descargar y ejecutar un archivo llamado UpdateAgent. El servidor est\u00e1 actualmente fuera de l\u00ednea.<\/p>\n Cazadora reportado<\/a> que hay 242,519 sistemas de administraci\u00f3n de tel\u00e9fonos 3CX expuestos p\u00fablicamente. Symantec, propiedad de Broadcom, en su propio aviso, dicho<\/a> “La informaci\u00f3n recopilada por este malware presumiblemente permiti\u00f3 a los atacantes evaluar si la v\u00edctima era candidata a un mayor compromiso”.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n “Debido a su uso generalizado y su importancia en el sistema de comunicaci\u00f3n de una organizaci\u00f3n, los actores de amenazas pueden causar da\u00f1os importantes (por ejemplo, al monitorear o desviar la comunicaci\u00f3n tanto interna como externa) a las empresas que usan este software”, Trend Micro dicho<\/a>.<\/p>\n Empresa de ciberseguridad CrowdStrike dicho<\/a> est\u00e1 atribuyendo el ataque con gran confianza a un actor del estado-naci\u00f3n de Corea del Norte que rastrea como Labyrinth Chollima (tambi\u00e9n conocido como Nickel Academy), un subgrupo dentro del notorio Grupo Lazarus.<\/p>\n “La actividad maliciosa incluye la baliza a la infraestructura controlada por el actor, el despliegue de cargas \u00fatiles de segunda etapa y, en un peque\u00f1o n\u00famero de casos, la actividad pr\u00e1ctica del teclado”, CrowdStrike agregado<\/a>.<\/p>\n En una publicaci\u00f3n en el foro, el CEO de 3CX, Nick Galea, dijo que est\u00e1 en proceso de emitir una nueva versi\u00f3n en las pr\u00f3ximas horas y se\u00f1al\u00f3 que Las versiones de Android e iOS no se ven afectadas<\/a>. “Desafortunadamente, esto sucedi\u00f3 debido a que una biblioteca ascendente que usamos se infect\u00f3”, Galea dicho<\/a>sin especificar m\u00e1s detalles.<\/p>\n Como soluci\u00f3n temporal, la empresa est\u00e1 instando<\/a> sus clientes para desinstalar la aplicaci\u00f3n y volver a instalarla, o alternativamente usar el cliente PWA.<\/p>\n![\"Aplicaci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680491609_351_El-ataque-a-la-cadena-de-suministro-de-la-aplicacion.png\" "\\"Aplicaci\u00f3n")
<\/div>\n