3CX Desktop App verseucht

3CXDesktop verseucht

Beitrag teilen

Sicherheitsforscher entdeckten eine betrügerische Fälschung der beliebten Software 3CX Desktop inklusive Malware bzw. Trojaner, ein Telefonie-System, das auf offenen Standards basiert. Über sie kann am Desktop mit einem Headset direkt telefoniert werden.

Die nun entdeckte Trojaner-Version enthält eine bösartige DLL-Datei, die eine Originaldatei ersetzt, welche mit der gutartigen Version der Anwendung geliefert wird. Wenn die gefälschte Anwendung geladen wird, führt die signierte 3CX DesktopApp die bösartige DLL als Teil ihrer vordefinierten Ausführungsprozedur aus. Auf diese Weise wurde aus der harmlosen, beliebten VoIP-Anwendung eine vollwertige Malware, die sich mit fremden Servern verbindet und in der Lage ist, Malware der zweiten Stufe auszuführen, somit Schadsoftware selbstständig auf den Rechner zu laden. Nach den Erkenntnissen der Experten wurde sie schon vielfach unwissentlich heruntergeladen.

Anzeige

Multifunktionales Tool

3CXDesktopApp ist ein Desktop-Client für das Voice-over-IP-System (VoIP) von 3CX. Die Anwendung ermöglicht Benutzern die Kommunikation innerhalb und außerhalb des Unternehmens über ihren Desktop oder Laptop. Das Programm kann Anrufe aufzeichnen, Videokonferenzen ermöglichen und auf Windows-, macOS- und Linux-Betriebssystemen verwendet werden, sowie auf Cloud-Plattformen. Es ist ein Tool, das Unternehmen nutzen, wenn sie eine hybride oder dezentrale Belegschaft haben. Zu den Kunden gehören staatliche Dienstleister wie das britische Gesundheitsministerium, sowie große Unternehmen, darunter Coca-Cola, Ikea und Honda. Dies ist ein klassischer Angriff auf die Lieferkette, obwohl es zum Zeitpunkt des Schreibens dieser Zeilen keine Hinweise auf einen Eingriff in den Quell-Code von 3CXDesktopApp gibt. Niemand hat damit gerechnet, dass die Anwendung mit einem bösartigen Implantat ausgestattet würde.

Angriff auf die Lieferkette

Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point, über die aktuelle Bedrohung: „Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind. Dieser Vorfall erinnert uns daran, wie wichtig es ist, dass wir unsere Geschäftspartner genau unter die Lupe nehmen. Allein die Frage, was sie für die Cybersicherheit Ihres Unternehmens tun, kann das Risiko für Ihr Unternehmen begrenzen, da Bedrohungsakteure ein Unternehmen kompromittieren und sich dann die Lieferkette hocharbeiten.

Maßgeschneiderte Malware

Bedrohungsakteure entwickeln ihre Angriffstechniken ständig weiter, wobei sie sich zunehmend weniger auf die Verwendung maßgeschneiderter Malware stützen und stattdessen auf nicht-signaturbasierte Tools zurückgreifen. Sie nutzen integrierte Betriebssystemfunktionen, die bereits auf dem Rechner der Zielperson installiert sind, und machen sich gängige IT-Verwaltungstools zunutze, die bei einer Entdeckung weniger Verdacht erregen. Häufig werden auch handelsübliche Pentesting- und Red-Team-Tools verwendet. Obwohl dies kein neues Phänomen ist, ist das, was früher selten und nur raffinierten Akteuren vorbehalten war, heute eine weit verbreitete Technik, die von allen Bedrohungsakteuren eingesetzt wird. Mit Blick auf die Zukunft ist es wichtig, dass wir einem konsolidierten, umfassenden und kollaborativen Sicherheitsansatz den Vorzug geben, der unsere Netzwerke vor der sich stetig verändernden Cyberlandschaft schützt.“

Check Point-Nutzer können durchatmen: Alle Software-Schwachstellen und Angriffssignaturen, die von Check Point Research gefunden oder gesichtet werden, wie diese Trojaner-Version der ursprünglichen 3CX DesktopApp, werden sofort an ThreatCloud geleitet, das Gehirn hinter allen Check Point-Produkten, welches die entsprechenden Schutzmaßnahmen über alle Check-Point-Produkte hinweg verbreitet. Damit sind alle Check Point-Kunden sofort geschützt, ohne ein Patching. So geschah es auch in diesem Fall: Sobald die Trojaner-Version des 3CXDesktopApp-Clients gemeldet wurde, sind alle relevanten Schutzmaßnahmen auf allen Check Point-Produkten integriert worden.

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Trends 2025: Industrie setzt auf die Cloud

Ein Experte für die Sicherheit cyber-physischer Systeme zeigt drei Trends für 2025 auf: NIS2 wird das Bewusstsein für Cyersicherheit weiter ➡ Weiterlesen

KI basierte Cybersicherheitstools – eine Vertrauensfrage

Trotz Hype: Knapp 60 Prozent der deutschen Unternehmen sehen potenzielle Mängel in Cybersicherheitstools, die auf generativer KI basieren, als herausragendes ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Trend: Cyberkriminelle arbeiten weltweit zusammen

Cyberkriminelle werden immer agiler und arbeiten weltweit zusammen. Das belegt der neue Forschungsbericht „Bridging Divides, Transcending Borders: The Current State ➡ Weiterlesen

BYOD: 4 Tipps um Sicherheitsrisiken zu minimieren

BYOD (Bring Your Own Device) bedeutet, dass Mitarbeiter in Unternehmen ihre persönlichen Geräte für die Arbeit nutzen dürfen. Daraus können ➡ Weiterlesen

Die Hacker-Gruppe FunkSec

Ein Pionier bei Cyber-Sicherheitslösungen wirft einen Blick auf die Ransomware-Gruppe FunkSec aus Algerien. Sie war im Dezember 2024 die aktivste ➡ Weiterlesen