Una versión troyanizada del popular sistema telefónico VOIP/PBX software 3CX está actualmente en los titulares. El sistema telefónico comercial es utilizado por empresas en 190 países de todo el mundo. Un programa de instalación que incluye un troyano se impone a los usuarios de Windows a través de un ataque de carga lateral de DLL.
El ataque parece haber sido un ataque a la cadena de suministro, que permitió a los atacantes agregar un instalador de aplicaciones de escritorio que finalmente descargó una carga maliciosa cifrada a través de una DLL.
El sistema telefónico está atacando en secreto
Mat Gangwer, VP Managed Threat Response en Sophos sobre la situación actual: “Los atacantes lograron manipular la aplicación para agregar un instalador que usa la carga lateral de DLL. Es a través de esta puerta trasera que finalmente se recupera una carga maliciosa cifrada. Esta táctica no es nueva, es similar a la actividad de carga lateral de DLL utilizada en otros ataques. Hemos identificado tres de los componentes críticos de este escenario de instalación de prueba de DLL”.
El software afectado 3CX es un sistema telefónico PBX basado en software legítimo disponible en Windows, Linux, Android e iOS. Actualmente, solo los sistemas Windows parecen verse afectados por el ataque. Los atacantes abusaron de la aplicación para agregar un instalador que se comunica con varios servidores de comando y control (C2). El ataque actual es una versión firmada digitalmente del cliente de escritorio de softphone para Windows que contiene una carga útil maliciosa. La actividad observada con más frecuencia hasta ahora después de explotar la vulnerabilidad es la activación de una interfaz de línea de comando interactiva (command shell).
Sistema telefónico PBX para Windows
Sophos MDR identificó por primera vez actividad maliciosa dirigida a sus propios clientes que se originaba en 29CXDesktopApp el 2023 de marzo de 3. Además, Sophos MDR determinó que el ataque utilizó un almacenamiento de archivos público para alojar malware cifrado. Este repositorio ha estado en uso desde el 8 de diciembre de 2022.
"El ataque en sí se basa en un escenario de carga lateral de DLL con una cantidad notable de componentes involucrados", dice Matt Gangwer. "Esto probablemente tenía la intención de garantizar que los clientes pudieran usar el paquete de escritorio 3CX sin notar nada fuera de lo común".
Hasta la fecha, Sophos ha identificado los siguientes componentes clave del ataque:
- 3CXDesktopApp.exe, el cargador limpio
- d3dcompiler_47.dll, una DLL con una carga útil cifrada adjunta
- ffmpeg.dll, el cargador malicioso troyano
El archivo ffmpeg.dll contiene una URL incrustada que obtiene una carga útil ICO codificada maliciosamente. En un escenario normal de instalación de prueba de DLL, el cargador malicioso (ffmpeg.dll) reemplazaría la aplicación legítima; su única función sería poner en cola la carga útil. En este caso, sin embargo, el cargador es completamente funcional como lo sería normalmente en el producto 3CX: se inyecta una carga útil adicional en la función DllMain como reemplazo. Si bien esto aumenta el tamaño del paquete, puede haber reducido las sospechas de los usuarios de que algo estaba mal, ya que la aplicación 3CX funciona como se esperaba, incluso cuando el troyano se dirige a la baliza C2.
Visto, reconocido, bloqueado
SophosLabs bloqueó los dominios maliciosos y lanzó la siguiente detección de endpoints: Troj/Loader-AF. Además, se bloqueó la lista de dominios C2 conocidos asociados con la amenaza. Esto se complementa con el archivo IOC en Sophos GitHub. Por último, pero no menos importante, el archivo malicioso ffmpeg.dll está marcado como de baja reputación.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.