Los expertos de Kaspersky analizaron el ataque a la cadena de suministro llevado a cabo a través del popular programa VoIP 3CXDesktopApp e instalaron un ladrón de información o puerta trasera. Durante el análisis, encontraron una biblioteca de enlaces dinámicos (DLL) sospechosa en una computadora, que se cargó en el proceso 3CXDesktopApp.exe infectado.
Los expertos de Kaspersky iniciaron una investigación sobre un caso relacionado con esta DLL el 21 de marzo, aproximadamente una semana antes del descubrimiento del ataque a la cadena de suministro. Esta DLL se usó en las implementaciones de la puerta trasera "Gopuram" y Kaspersky la supervisa desde 2020. Además, el análisis muestra que Gopuram coexiste en equipos que fueron atacados con AppleJeus. AppleJeus es uno Puerta trasera dedicada al actor de amenazas en idioma coreano Lazarus es atribuido.
La BSI - Oficina Federal para la Seguridad de la Información, ahora ha emitido una advertencia sobre la aplicación para el programa VoIP 3CX Desktop. La Oficina también ha registrado que después de una instalación exitosa se conecta a un Servidor de mando y control (servidor C&C) se acumula y se vuelve a cargar más malware.
Alemania en el grupo más grande
Las instalaciones del software 3CX infectado se encuentran en todo el mundo, sin embargo, Brasil, Alemania, Italia y Francia tienen la mayoría de los casos. Gopuram, por otro lado, se observó en menos de diez computadoras, lo que sugiere que los atacantes están muy enfocados con la puerta trasera. Los atacantes parecen tener un interés particular en las empresas de criptomonedas.
"Infostealer no es la única carga útil maliciosa implementada durante el ataque", explica Georgy Kucherin, investigador de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “El actor de amenazas detrás de Gopuram también infecta las computadoras de destino con la puerta trasera modular Gopuram con todas las funciones. Creemos que Gopuram es el implante principal y la carga útil final en la cadena de ataque. Nuestra investigación está en curso y analizaremos los implantes utilizados con más detalle para conocer más detalles sobre el conjunto de herramientas utilizado en el ataque a la cadena de suministro”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/