Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 03/04/2023] Campaña de distribución de software troyanizado contra 3CX DesktopApp

Fecha de publicación 31/03/2023
Identificador

INCIBE-2023-0117

Importancia
5 - Crítica
Recursos Afectados
  • Electron Windows App publicado en la Update 7, versiones:
    • 18.12.407;
    • 18.12.416.
  • Electron Mac App, versiones:
    • 18.11.1213;
    • 18.12.402;
    • 18.12.407;
    • 18.12.416.

Este software está disponible para Windows, macOS, Linux y dispositivos móviles Android o iOS, pero las versiones maliciosas conocidas hasta ahora con un binario troyanizado son para Windows y macOS.

Descripción

CISA ha informado una campaña en la cadena de suministro para la distribución de software malicioso denominada Smooth Operator, destinado a conferencias de voz y video, incluyendo el enrutamiento de llamadas a través de centralitas automáticas privadas (PABX). En concreto, las compañías de ciberseguridad SentinelOne y CrowdStrike han publicado informes en los que identifican binarios del producto 3CX DesktopApp troyanizado, y que permitirían a un atacante realizar una segunda etapa de ataques contra los usuarios afectados.

Solución

Se recomienda no instalar ninguna versión de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaña o aquellas no han sido modificadas.

Adicionalmente, se recomienda a los usuarios de este producto revisar los informes de las compañías SentinelOne y CrowdStrike con los indicadores de compromiso (IoC) detectados para localizar posibles actividades maliciosas en sus sistemas o en los binarios de instalación afectados que se conocen.

El fabricante recomienda utilizar la aplicación PWA en sustitución de DesktopApp.

Detalle

La información conocida por las compañías SentinelOne y CrowdStrike identifica la existencia de un binario para la instalación del software legitimo y firmado digitalmente de 3CX DesktopApp. En dicho binario se han podido observar modificaciones con capacidades de un troyano que permitirían una actividad maliciosa por parte de un atacante desde una infraestructura remota controlada por él, pudiendo desplegar otras cargas maliciosas de segunda etapa, e incluso capturas de teclado, información de navegación, etc.

El troyano distribuido utiliza para esto varias shellcode ejecutadas desde el espacio de almacenamiento dinámico, desde el cual se carga una DLL a través de una explotación con nombre 'DllGetClassObject'. En esta etapa a su vez se descargan diferentes archivos de iconos desde un repositorio alojado en GitHub, que contienen información codificada en BASE64 para una posterior descarga de otras capacidades.

La compañía CrowdStrike asocia como probable actor de esta campaña a un actor malicioso de un estado o nación conocido como "LABYRINTH CHOLLIMA".

Encuesta valoración