3CX Desktop App verseucht

3CXDesktop verseucht

Beitrag teilen

Sicherheitsforscher entdeckten eine betrügerische Fälschung der beliebten Software 3CX Desktop inklusive Malware bzw. Trojaner, ein Telefonie-System, das auf offenen Standards basiert. Über sie kann am Desktop mit einem Headset direkt telefoniert werden.

Die nun entdeckte Trojaner-Version enthält eine bösartige DLL-Datei, die eine Originaldatei ersetzt, welche mit der gutartigen Version der Anwendung geliefert wird. Wenn die gefälschte Anwendung geladen wird, führt die signierte 3CX DesktopApp die bösartige DLL als Teil ihrer vordefinierten Ausführungsprozedur aus. Auf diese Weise wurde aus der harmlosen, beliebten VoIP-Anwendung eine vollwertige Malware, die sich mit fremden Servern verbindet und in der Lage ist, Malware der zweiten Stufe auszuführen, somit Schadsoftware selbstständig auf den Rechner zu laden. Nach den Erkenntnissen der Experten wurde sie schon vielfach unwissentlich heruntergeladen.

Multifunktionales Tool

3CXDesktopApp ist ein Desktop-Client für das Voice-over-IP-System (VoIP) von 3CX. Die Anwendung ermöglicht Benutzern die Kommunikation innerhalb und außerhalb des Unternehmens über ihren Desktop oder Laptop. Das Programm kann Anrufe aufzeichnen, Videokonferenzen ermöglichen und auf Windows-, macOS- und Linux-Betriebssystemen verwendet werden, sowie auf Cloud-Plattformen. Es ist ein Tool, das Unternehmen nutzen, wenn sie eine hybride oder dezentrale Belegschaft haben. Zu den Kunden gehören staatliche Dienstleister wie das britische Gesundheitsministerium, sowie große Unternehmen, darunter Coca-Cola, Ikea und Honda. Dies ist ein klassischer Angriff auf die Lieferkette, obwohl es zum Zeitpunkt des Schreibens dieser Zeilen keine Hinweise auf einen Eingriff in den Quell-Code von 3CXDesktopApp gibt. Niemand hat damit gerechnet, dass die Anwendung mit einem bösartigen Implantat ausgestattet würde.

Angriff auf die Lieferkette

Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point, über die aktuelle Bedrohung: „Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind. Dieser Vorfall erinnert uns daran, wie wichtig es ist, dass wir unsere Geschäftspartner genau unter die Lupe nehmen. Allein die Frage, was sie für die Cybersicherheit Ihres Unternehmens tun, kann das Risiko für Ihr Unternehmen begrenzen, da Bedrohungsakteure ein Unternehmen kompromittieren und sich dann die Lieferkette hocharbeiten.

Maßgeschneiderte Malware

Bedrohungsakteure entwickeln ihre Angriffstechniken ständig weiter, wobei sie sich zunehmend weniger auf die Verwendung maßgeschneiderter Malware stützen und stattdessen auf nicht-signaturbasierte Tools zurückgreifen. Sie nutzen integrierte Betriebssystemfunktionen, die bereits auf dem Rechner der Zielperson installiert sind, und machen sich gängige IT-Verwaltungstools zunutze, die bei einer Entdeckung weniger Verdacht erregen. Häufig werden auch handelsübliche Pentesting- und Red-Team-Tools verwendet. Obwohl dies kein neues Phänomen ist, ist das, was früher selten und nur raffinierten Akteuren vorbehalten war, heute eine weit verbreitete Technik, die von allen Bedrohungsakteuren eingesetzt wird. Mit Blick auf die Zukunft ist es wichtig, dass wir einem konsolidierten, umfassenden und kollaborativen Sicherheitsansatz den Vorzug geben, der unsere Netzwerke vor der sich stetig verändernden Cyberlandschaft schützt.“

Check Point-Nutzer können durchatmen: Alle Software-Schwachstellen und Angriffssignaturen, die von Check Point Research gefunden oder gesichtet werden, wie diese Trojaner-Version der ursprünglichen 3CX DesktopApp, werden sofort an ThreatCloud geleitet, das Gehirn hinter allen Check Point-Produkten, welches die entsprechenden Schutzmaßnahmen über alle Check-Point-Produkte hinweg verbreitet. Damit sind alle Check Point-Kunden sofort geschützt, ohne ein Patching. So geschah es auch in diesem Fall: Sobald die Trojaner-Version des 3CXDesktopApp-Clients gemeldet wurde, sind alle relevanten Schutzmaßnahmen auf allen Check Point-Produkten integriert worden.

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen - im Oktober 2024 soll das Gesetz schon fertig ➡ Weiterlesen

Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

IT-Sicherheit: Mangelnde Kenntnisse in deutschen Unternehmen

Rund 25 Prozent aller Geschäftsleitungen wissen zu wenig über IT-Sicherheit und 42 Prozent der Arbeitnehmenden informieren sich nicht regelmäßig über ➡ Weiterlesen

Unternehmen entdecken Cyberangreifer schneller

Cyberangreifer nutzen bevorzugt Zero-Day-Schwachstellen aus, so der M-Trends Report 2024. Die durchschnittliche Verweildauer bis zu ihrer Entdeckung ist aber deutlich ➡ Weiterlesen

Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot

Es war laut Europol der größte, erfolgreiche Einsatz gegen Botnetze aller Zeiten: Eine internationale Operation hat Dropper wie TrickBot, IcedID, ➡ Weiterlesen

Überwachung dank Abschnitt 702

Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 bewirkt eine erhebliche Ausweitung der inländischen Überwachung, die die ➡ Weiterlesen

Phishing-Angriffe: Weltweite Zunahme um 60 Prozent

2023 war die Finanzbranche am häufigsten von Phishing-Angriffen betroffen. Kriminelle nutzen für Voice-Phishing (Vishing) und Deepfake-Phishing zunehmend generative KI um ➡ Weiterlesen