Hakerzy wykorzystali aplikację 3CX Desktop do dostarczenia złośliwego oprogramowania

Jeśli korzystacie z desktopowej aplikacji 3CX dla Windows lub Mac, uważajcie: Hakerzy zhakowali oprogramowanie, aby dostarczyć złośliwe oprogramowanie do komputerów.

W środę dostawcy usług związanych z bezpieczeństwem cybernetycznym zauważyli złośliwą aktywność pochodzącą z legalnej aplikacji desktopowej 3CX, która służy do wykonywania połączeń VoIP i wideokonferencji.

„W tej chwili aktywność została zaobserwowana zarówno w systemie Windows, jak i macOS” – pisze we wpisie na blogu firma ochroniarska Crowdstrike. Firma odkryła również dowody na to, że złośliwa aktywność pochodzi z niesławnej północnokoreańskiej grupy sponsorowanej przez państwo, znanej jako Lazarus, którą FBI powiązało z włamaniem do Sony Pictures w 2014 roku.

W odpowiedzi, dyrektor generalny 3CX, Nick Galea, wzywa użytkowników do odinstalowania oprogramowania, które zawiera wersje 18.12.407 i 18.12.416 aplikacji dla systemu Windows. Firma pracuje nad aktualizacją, która w pełni zlikwiduje zagrożenie. W międzyczasie 3CX mówi, że użytkownicy mogą używać swojej aplikacji internetowej jako substytutu.

Diagram ataku z użyciem 3CX

Nie jest jasne, jak hakerzy włamali się do 3CX, aby przejąć aplikację desktopową. Ale w jakiś sposób uruchomili oprogramowanie 3CX, aby uruchomić proces aktualizacji, który powoduje, że aplikacja ładuje złośliwe komponenty, w tym infostealer, który może wyciągnąć dane, takie jak hasła z przeglądarki, jak twierdzi firma Trend Micro.

Złośliwa aktywność aplikacji skłoniła kilku dostawców cyberbezpieczeństwa do zablokowania zagrożenia, a nawet odinstalowania oprogramowania, więc niektórzy klienci mogą być chronieni przed atakiem. Jednak wielu innych prawdopodobnie nie jest. Firma zajmująca się bezpieczeństwem Huntress zauważa, że aż 242,519 urządzeń mogło zostać narażonych na atak.