Software VOIP/PBX 3CX abusado para ataque de sideload

31. Março 2023
| Sem comentários
Notícias Sophos

Compartilhar postagem

Uma versão trojanizada do popular sistema de telefonia VOIP/PBX software 3CX está atualmente nas manchetes. O sistema telefônico comercial é usado por empresas em 190 países em todo o mundo. Um programa de instalação incluindo um cavalo de Tróia é impingido aos usuários do Windows por meio de um ataque de carregamento lateral de DLL.

O ataque parece ter sido um ataque à cadeia de suprimentos, que permitiu aos invasores adicionar um instalador de aplicativo de desktop que, por fim, transferiu uma carga maliciosa e criptografada por meio de uma DLL.

O sistema telefônico está atacando secretamente

Mat Gangwer, vice-presidente de resposta a ameaças gerenciadas da Sophos, sobre a situação atual: “Os invasores conseguiram manipular o aplicativo para adicionar um instalador que usa carregamento lateral de DLL. É por meio desse backdoor que uma carga maliciosa e criptografada é finalmente recuperada. Essa tática não é nova, é semelhante à atividade de sideloading de DLL usada em outros ataques. Identificamos três dos componentes críticos desse cenário de sideload de DLL.”

O software afetado 3CX é um sistema telefônico PBX baseado em software legítimo disponível no Windows, Linux, Android e iOS. Atualmente, apenas os sistemas Windows parecem ser afetados pelo ataque. O aplicativo foi abusado pelos invasores para adicionar um instalador que se comunica com vários servidores de comando e controle (C2). O ataque atual é uma versão assinada digitalmente do cliente de desktop de softphone para Windows que contém uma carga maliciosa. A atividade observada com mais frequência até agora após a exploração da vulnerabilidade é a ativação de uma interface de linha de comando interativa (shell de comando).

Sistema telefônico PBX para Windows

O Sophos MDR identificou pela primeira vez atividades maliciosas direcionadas a seus próprios clientes provenientes do 29CXDesktopApp em 2023 de março de 3. Além disso, o Sophos MDR determinou que o ataque usou um armazenamento de arquivo público para hospedar malware criptografado. Este repositório está em uso desde 8 de dezembro de 2022.

"O ataque em si é baseado em um cenário de sideload de DLL com um número notável de componentes envolvidos", diz Matt Gangwer. “Isso provavelmente foi feito para garantir que os clientes pudessem usar o pacote de desktop 3CX sem perceber nada fora do comum”.

Até o momento, a Sophos identificou os seguintes componentes-chave do ataque:

  • 3CXDesktopApp.exe, o carregador limpo
  • d3dcompiler_47.dll, uma DLL com uma carga criptografada anexada
  • ffmpeg.dll, o carregador malicioso trojanizado

O arquivo ffmpeg.dll contém um URL incorporado que busca uma carga ICO codificada de forma maliciosa. Em um cenário normal de sideload de DLL, o carregador malicioso (ffmpeg.dll) substituiria o aplicativo legítimo; sua única função seria enfileirar a carga útil. Neste caso, no entanto, o carregador é totalmente funcional como normalmente seria no produto 3CX - uma carga útil adicional é injetada na função DllMain como uma substituição. Embora isso aumente o tamanho do pacote, pode ter reduzido as suspeitas dos usuários de que algo estava errado, pois o aplicativo 3CX funciona conforme o esperado - mesmo enquanto o trojan está se dirigindo ao sinalizador C2.

Visto, reconhecido, bloqueado

A SophosLabs bloqueou os domínios maliciosos e liberou a seguinte detecção de endpoint: Troj/Loader-AF. Além disso, a lista de domínios C2 conhecidos associados à ameaça foi bloqueada. Isso é complementado no arquivo IOC no Sophos GitHub. Por último, mas não menos importante, o arquivo ffmpeg.dll malicioso é sinalizado como tendo baixa reputação.

Mais em Sophos.com

 

Sobre a Sophos

A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

HeadCrab 2.0 descoberto

A campanha HeadCrab contra servidores Redis, ativa desde 2021, continua a infectar alvos com sucesso com a nova versão. O miniblog dos criminosos ➡ Leia mais

notícias curtas, Sophos
, , , , ,