Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El ataque a la cadena de suministro de 3CX afecta a millones de usuarios
14 de abril de 2023 - Equipo de RRPP de TuxCare
Dos empresas de seguridad han detectado un ataque a la cadena de suministro de 3CX, un popular proveedor de software de comunicaciones.
El malware ha infectado al cliente Windows Electron, pero sólo a los clientes que han actualizado a la versión 7. El ataque se detectó por primera vez hace más de una semana. SentinelOne, una empresa de seguridad, descubrió el malware 3CX DesktopApp y declaró que es sólo la primera etapa de un ataque en varias fases.
El malware toma archivos ICO que tienen datos base64 anexados desde Github y pasa a la tercera etapa, donde conduce a una DLL infostealer. La DLL se analiza para determinar su interfaz con los datos del navegador, de modo que los atacantes puedan cribar la masa de clientes infectados y ejecutar futuras operaciones. Dado que el software afectado es un cliente de escritorio, se aconseja a los usuarios que utilicen la aplicación web progresiva en lugar del cliente hasta que se actualice.
El CEO de 3CX, Nick Galea, confirmó la infección y emitió recomendaciones para que los clientes utilicen el cliente PWA en lugar del cliente de escritorio afectado. La empresa afirma tener más de 12 millones de usuarios diarios y da servicio a una amplia variedad de sectores, entre los que se incluyen grandes compañías como Mercedes Benz, McDonald's, BMW, Holiday Inn, el NHS, American Express, Coca-Cola y Air France.
Crowdstrike también detectó una actividad similar en Windows y Mac, y sospecha que el ataque es obra de Labyrinth Chollima de Corea del Norte, un subconjunto de Lazarus. El grupo lleva a cabo principalmente operaciones de espionaje dirigidas a los ejércitos de Estados Unidos y Corea del Sur.
Los clientes de 3CX han informado de actividad sospechosa, largas listas de archivos y directorios afectados y shell scripts para realizar una limpieza. Estos mensajes en el foro se remontan al 22 de marzo, con gente advirtiendo de una intrusión. Los ataques a la cadena de suministro han sido una amenaza creciente desde el incidente de Solar Wind en 2020. El ataque a 3CX es el más destacado desde Solar Winds y la crisis de Kaseya que le siguió.
El malware del cliente de escritorio 3CX recopila información de Chrome, Edge, Brave y Firefox, incluido el historial del navegador, los datos de la tabla de lugares en Firefox y las tablas del historial de Chrome. Es crucial señalar que los ataques a la cadena de suministro pueden suceder a cualquier empresa y afectar a millones de usuarios.
En respuesta al ataque, 3CX está trabajando en una actualización de la DesktopApp, que lanzarán en las próximas horas. La compañía también está abordando BLF inmediatamente y hotkeys si es posible. Hasta que se publique la nueva versión, 3CX recomienda encarecidamente utilizar el cliente PWA en lugar del cliente Electron afectado.
Las fuentes de este artículo incluyen un artículo en TheRegister.
