Pesquisadores de segurança descobriram uma falsificação fraudulenta do popular software 3CX Desktop, incluindo malware ou Trojan, um sistema de telefonia baseado em padrões abertos. Você pode usá-lo para fazer chamadas diretamente na área de trabalho com um fone de ouvido.
A versão do Trojan agora descoberta contém um arquivo DLL malicioso que substitui um arquivo original que vem junto com a versão benigna do aplicativo. Quando o aplicativo falso é carregado, o 3CX DesktopApp assinado executa a DLL maliciosa como parte de seu procedimento de execução predefinido. Dessa forma, o aplicativo VoIP popular e inofensivo tornou-se um malware completo que se conecta a servidores de terceiros e é capaz de executar malware de segundo estágio, carregando malware no computador de forma independente. De acordo com as descobertas dos especialistas, ele já foi baixado muitas vezes sem saber.
ferramenta multifuncional
3CXDesktopApp é um cliente de desktop para o sistema de Voz sobre IP (VoIP) da 3CX. O aplicativo permite que os usuários se comuniquem dentro e fora da empresa por meio de seu desktop ou laptop. O programa pode gravar chamadas, permitir videoconferências e pode ser usado nos sistemas operacionais Windows, macOS e Linux, além de plataformas em nuvem. É uma ferramenta que as empresas usam quando têm uma força de trabalho híbrida ou distribuída. Os clientes incluem provedores de serviços governamentais, como o Departamento de Saúde do Reino Unido, bem como grandes corporações, como Coca-Cola, Ikea e Honda. Este é um ataque clássico da cadeia de suprimentos, embora no momento da redação não haja evidências de qualquer comprometimento no código-fonte do 3CXDesktopApp. Ninguém esperava que o aplicativo fosse equipado com um implante malicioso.
Ataque à cadeia de suprimentos
Lotem Finkelstein, diretor de inteligência e pesquisa de ameaças da Check Point, sobre a ameaça atual: “Este é um ataque clássico à cadeia de suprimentos projetado para explorar relações de confiança entre uma organização e partes externas, incluindo parcerias com fornecedores ou o uso de software de terceiros partes das quais a maioria das empresas depende de alguma forma. Este incidente nos lembra da importância de examinar nossos parceiros de negócios. Apenas perguntar o que eles estão fazendo pela segurança cibernética de sua organização pode limitar o risco de sua organização, pois os agentes de ameaças comprometem uma organização e, em seguida, avançam na cadeia de suprimentos.
Malware personalizado
Os agentes de ameaças estão constantemente evoluindo suas técnicas de ataque, confiando cada vez menos no uso de malware personalizado e, em vez disso, contando com ferramentas não baseadas em assinatura. Eles aproveitam os recursos integrados do sistema operacional já instalados na máquina do alvo e aproveitam as ferramentas comuns de gerenciamento de TI que levantam menos suspeitas se detectadas. Ferramentas de pentesting comercial e equipe vermelha também são usadas com frequência. Embora este não seja um fenômeno novo, o que costumava ser raro e reservado apenas para atores sofisticados agora é uma técnica amplamente empregada por todos os agentes de ameaças. Olhando para o futuro, é importante priorizarmos uma abordagem de segurança consolidada, abrangente e colaborativa que proteja nossas redes do cenário cibernético em constante mudança”.
Os usuários do Check Point podem respirar tranquilos: todas as vulnerabilidades de software e assinaturas de ataque encontradas ou avistadas pela Check Point Research, como esta versão Trojan do aplicativo de desktop 3CX original, são imediatamente roteadas para o ThreatCloud, o cérebro por trás de todos os produtos Check Point, que espalha as informações apropriadas medidas de proteção em todos os produtos Check-Point. Isso significa que todos os clientes da Check Point são imediatamente protegidos sem aplicação de patches. Foi o que aconteceu neste caso: assim que a versão Trojan do cliente 3CXDesktopApp foi relatada, todas as proteções relevantes foram integradas em todos os produtos Check Point.
Mais em Checkpoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.
Artigos relacionados ao tema