Les chercheurs en cybersécurité ont mis en garde contre les acteurs de la menace abusant d'une faille dans une solution VoIP (ouvre dans un nouvel onglet) utilisée par certaines des plus grandes marques mondiales.
Plusieurs sociétés de cybersécurité ont sonné l'alarme à propos de 3CX, dont Sophos et CrowdStrike, affirmant que les acteurs de la menace ciblent activement les utilisateurs de clients de bureau 3CX compromis sur Windows et macOS.
La plateforme VoIP 3CX compte plus de 600.000 12 clients et plus de XNUMX millions d'utilisateurs quotidiens, selon un rapport de BleepingComputer, avec des clients comme American Express, Coca-Cola, McDonald's, BMW et bien d'autres.
Voler des données sensibles
Les versions vulnérables de l'application 3CXDesktop incluent 18.12.407 et 18.12.416 pour Windows et 18.11.1213 pour macOS. L'un des clients infectés par un cheval de Troie a été signé numériquement début mars avec un certificat 3CX légitime émis par DigiCert, selon le message.
"Les activités malveillantes comprennent le marquage de l'infrastructure contrôlée par les acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, l'activité manuelle du clavier", explique CrowdStrike. "L'activité post-exploitation la plus courante observée à ce jour est la création d'un shell de commande interactif", indique le rapport Sophos.
Une autre entreprise de cybersécurité, SentinelOne, a ajouté que le malware est capable de voler des informations système, ainsi que des données stockées dans les navigateurs Chrome, Edge, Brave et Firefox. Ceux-ci incluent souvent des identifiants de connexion et des informations de paiement.
Alors que les enquêteurs ne parviennent pas à un consensus sur l'identité des attaquants, CrowdStrike soupçonne Labyrinth Collima, un groupe de piratage parrainé par l'État nord-coréen.
"LABYRINTH CHOLLIMA est un sous-ensemble de ce qui a été décrit comme le groupe Lazarus, qui comprend d'autres adversaires liés à la RPDC, notamment SILENT CHOLLIMA et STARDUST CHOLLIMA."
La société a reconnu l'attaque sur son blog et a confirmé qu'elle travaillait sur un correctif :
"Nous avons le regret d'informer nos partenaires et clients que notre application Electron Windows livrée dans la mise à jour 7, numéros de version 18.12.407 et 18.12.416, inclut un problème de sécurité. Les éditeurs d'antivirus ont signalé l'exécutable '3CXDesktopApp.exe' et dans de nombreux cas désinstallé ça", dit l'annonce. "Le problème semble être l'une des bibliothèques groupées que nous avons compilées dans l'application Windows Electron via GIT. Nous étudions toujours la question afin de pouvoir fournir une réponse plus détaillée plus tard dans la journée."
"En attendant, nous nous excusons profondément pour ce qui s'est passé et ferons tout ce qui est en notre pouvoir pour réparer cette erreur."
Via : BleepingComputer (Ouvre dans un nouvel onglet)