Uma versão trojanizada do popular sistema de telefonia VOIP/PBX software 3CX está atualmente nas manchetes. O sistema telefônico comercial é usado por empresas em 190 países em todo o mundo. Um programa de instalação incluindo um cavalo de Tróia é impingido aos usuários do Windows por meio de um ataque de carregamento lateral de DLL.
O ataque parece ter sido um ataque à cadeia de suprimentos, que permitiu aos invasores adicionar um instalador de aplicativo de desktop que, por fim, transferiu uma carga maliciosa e criptografada por meio de uma DLL.
O sistema telefônico está atacando secretamente
Mat Gangwer, vice-presidente de resposta a ameaças gerenciadas da Sophos, sobre a situação atual: “Os invasores conseguiram manipular o aplicativo para adicionar um instalador que usa carregamento lateral de DLL. É por meio desse backdoor que uma carga maliciosa e criptografada é finalmente recuperada. Essa tática não é nova, é semelhante à atividade de sideloading de DLL usada em outros ataques. Identificamos três dos componentes críticos desse cenário de sideload de DLL.”
O software afetado 3CX é um sistema telefônico PBX baseado em software legítimo disponível no Windows, Linux, Android e iOS. Atualmente, apenas os sistemas Windows parecem ser afetados pelo ataque. O aplicativo foi abusado pelos invasores para adicionar um instalador que se comunica com vários servidores de comando e controle (C2). O ataque atual é uma versão assinada digitalmente do cliente de desktop de softphone para Windows que contém uma carga maliciosa. A atividade observada com mais frequência até agora após a exploração da vulnerabilidade é a ativação de uma interface de linha de comando interativa (shell de comando).
Sistema telefônico PBX para Windows
O Sophos MDR identificou pela primeira vez atividades maliciosas direcionadas a seus próprios clientes provenientes do 29CXDesktopApp em 2023 de março de 3. Além disso, o Sophos MDR determinou que o ataque usou um armazenamento de arquivo público para hospedar malware criptografado. Este repositório está em uso desde 8 de dezembro de 2022.
"O ataque em si é baseado em um cenário de sideload de DLL com um número notável de componentes envolvidos", diz Matt Gangwer. “Isso provavelmente foi feito para garantir que os clientes pudessem usar o pacote de desktop 3CX sem perceber nada fora do comum”.
Até o momento, a Sophos identificou os seguintes componentes-chave do ataque:
- 3CXDesktopApp.exe, o carregador limpo
- d3dcompiler_47.dll, uma DLL com uma carga criptografada anexada
- ffmpeg.dll, o carregador malicioso trojanizado
O arquivo ffmpeg.dll contém um URL incorporado que busca uma carga ICO codificada de forma maliciosa. Em um cenário normal de sideload de DLL, o carregador malicioso (ffmpeg.dll) substituiria o aplicativo legítimo; sua única função seria enfileirar a carga útil. Neste caso, no entanto, o carregador é totalmente funcional como normalmente seria no produto 3CX - uma carga útil adicional é injetada na função DllMain como uma substituição. Embora isso aumente o tamanho do pacote, pode ter reduzido as suspeitas dos usuários de que algo estava errado, pois o aplicativo 3CX funciona conforme o esperado - mesmo enquanto o trojan está se dirigindo ao sinalizador C2.
Visto, reconhecido, bloqueado
A SophosLabs bloqueou os domínios maliciosos e liberou a seguinte detecção de endpoint: Troj/Loader-AF. Além disso, a lista de domínios C2 conhecidos associados à ameaça foi bloqueada. Isso é complementado no arquivo IOC no Sophos GitHub. Por último, mas não menos importante, o arquivo ffmpeg.dll malicioso é sinalizado como tendo baixa reputação.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.