[Actualización 03/04/2023] Campaña de distribución de software troyanizado contra 3CX DesktopApp
INCIBE-2023-0117
- Electron Windows App publicado en la Update 7, versiones:
- 18.12.407;
- 18.12.416.
- Electron Mac App, versiones:
- 18.11.1213;
- 18.12.402;
- 18.12.407;
- 18.12.416.
Este software está disponible para Windows, macOS, Linux y dispositivos móviles Android o iOS, pero las versiones maliciosas conocidas hasta ahora con un binario troyanizado son para Windows y macOS.
CISA ha informado una campaña en la cadena de suministro para la distribución de software malicioso denominada Smooth Operator, destinado a conferencias de voz y video, incluyendo el enrutamiento de llamadas a través de centralitas automáticas privadas (PABX). En concreto, las compañías de ciberseguridad SentinelOne y CrowdStrike han publicado informes en los que identifican binarios del producto 3CX DesktopApp troyanizado, y que permitirían a un atacante realizar una segunda etapa de ataques contra los usuarios afectados.
Se recomienda no instalar ninguna versión de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaña o aquellas no han sido modificadas.
Adicionalmente, se recomienda a los usuarios de este producto revisar los informes de las compañías SentinelOne y CrowdStrike con los indicadores de compromiso (IoC) detectados para localizar posibles actividades maliciosas en sus sistemas o en los binarios de instalación afectados que se conocen.
El fabricante recomienda utilizar la aplicación PWA en sustitución de DesktopApp.
Para los usuarios que cuenten con instalaciones "Self Hosted" y "On Premise", se recomienda instalar la actualización siguiendo los siguientes pasos:
- Iniciar la consola de gestión
- Ir a la sección Actualizaciones
- Descargar Mac Desktop App - 18.12.422
- Descargar Windows Desktop App - 18.12.422
La información conocida por las compañías SentinelOne y CrowdStrike identifica la existencia de un binario para la instalación del software legitimo y firmado digitalmente de 3CX DesktopApp. En dicho binario se han podido observar modificaciones con capacidades de un troyano que permitirían una actividad maliciosa por parte de un atacante desde una infraestructura remota controlada por él, pudiendo desplegar otras cargas maliciosas de segunda etapa, e incluso capturas de teclado, información de navegación, etc.
El troyano distribuido utiliza para esto varias shellcode ejecutadas desde el espacio de almacenamiento dinámico, desde el cual se carga una DLL a través de una explotación con nombre 'DllGetClassObject'. En esta etapa a su vez se descargan diferentes archivos de iconos desde un repositorio alojado en GitHub, que contienen información codificada en BASE64 para una posterior descarga de otras capacidades.
La compañía CrowdStrike asocia como probable actor de esta campaña a un actor malicioso de un estado o nación conocido como "LABYRINTH CHOLLIMA".