Os especialistas da Kaspersky analisaram o ataque à cadeia de suprimentos realizado por meio do popular programa VoIP 3CXDesktopApp e instalaram um infostealer ou backdoor. Durante a análise, eles encontraram uma biblioteca de vínculo dinâmico (DLL) suspeita em um computador, que foi carregada no processo 3CXDesktopApp.exe infectado.
Os especialistas da Kaspersky iniciaram uma investigação sobre um caso relacionado a esta DLL em 21 de março, cerca de uma semana antes da descoberta do ataque à cadeia de suprimentos. Essa DLL foi usada em implantações do backdoor "Gopuram" e é monitorada pela Kaspersky desde 2020. Além disso, a análise mostra que Gopuram coexiste em computadores que foram atacados com AppleJeus. AppleJeus é um Backdoor dedicado ao ator de ameaça de língua coreana Lazarus é atribuído.
O BSI – Escritório Federal de Segurança da Informação, agora emitiu um aviso sobre o aplicativo para o programa VoIP 3CX Desktop. O Office também registrou que, após a instalação bem-sucedida, conecta-se a um servidor de comando e controle (servidor C&C) se acumula e outros malwares são recarregados.
Alemanha no maior grupo
As instalações do software 3CX infectado são encontradas em todo o mundo, no entanto, Brasil, Alemanha, Itália e França têm a maioria dos casos. O Gopuram, por outro lado, foi observado em menos de dez computadores, sugerindo que os invasores são altamente visados pelo backdoor. Os invasores parecem ter um interesse particular em empresas de criptomoedas.
"O Infostealer não é a única carga maliciosa implantada durante o ataque", explica Georgy Kucherin, pesquisador de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “O agente da ameaça por trás do Gopuram também infecta as máquinas-alvo com o backdoor modular completo do Gopuram. Acreditamos que Gopuram seja o implante principal e a carga final na cadeia de ataque. Nossa investigação está em andamento e analisaremos os implantes usados com mais detalhes para descobrir mais detalhes sobre o conjunto de ferramentas usado no ataque à cadeia de suprimentos”.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/