Detectan troyano en 3CX desktop application

El 29 de marzo Crowdstrike observó una actividad maliciosa inesperada que emanaba de un binario legítimo y firmado, 3CXDesktopApp, la aplicación de softphone de 3CX. Sophos MDR por igual detectó la amenaza en sus clientes del servicio. El troyano es parte de un ataque software supply chain dirigido a los clientes del proveedor.

Desde 22 de marzo, los usuarios de 3CX comenzaron a discutir sobre posibles detecciones de falsos positivos en 3CXDesktopApp por parte de Sentinel One.

El software afectado es 3CX, un sistema telefónico PBX disponible en Windows, Linux, MacOS, Android e iOS. El actor de amenazas ha abusado de la aplicación para agregar un instalador que se comunica con varios servidores de comando y control (C2).

Mitigación

3CX ha confirmado los siguientes clientes y versiones están afectados:

  • Electron Windows App (incluida en la Actualización 7) versiones 18.12.407 y 18.12.416
  • Electron Mac App 18.11.1213, 18.12.402, 18.12.407 y 18.12.416

Una estrategia conservadora pero recomendada es desinstalar 3CXDesktopApp de inmediato y eliminar cualquier artefacto que quede.

Los usuarios deben buscar retroactivamente indicadores de compromiso y bloquear los dominios reportados en su firewall.

3CX tiene una aplicación web progresiva (PWA) basada en navegador que no requiere que el usuario descargue un archivo ejecutable. Su CEO ha sugerido que los usuarios aprovechen esta PWA por el momento en lugar de los clientes descargables.

Archivos comprometidos
  • 3CXDesktopApp.exe
  • ffmpeg.dll
  • d3dcompiler_47.dll
Dominios malos conocidos
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
convieneonline[.]com
dunamistrd[.]com
glcloudservice.[.]
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
Soyoungjun[.]com
visualstudiofactory[.]com
zacharryblogs[.]com

La información del incidente se estará actualizando en el blog de 3CX.

Cyberseguridad México © 2023