El 29 de marzo Crowdstrike observó una actividad maliciosa inesperada que emanaba de un binario legítimo y firmado, 3CXDesktopApp, la aplicación de softphone de 3CX. Sophos MDR por igual detectó la amenaza en sus clientes del servicio. El troyano es parte de un ataque software supply chain dirigido a los clientes del proveedor.
Desde 22 de marzo, los usuarios de 3CX comenzaron a discutir sobre posibles detecciones de falsos positivos en 3CXDesktopApp por parte de Sentinel One.
El software afectado es 3CX, un sistema telefónico PBX disponible en Windows, Linux, MacOS, Android e iOS. El actor de amenazas ha abusado de la aplicación para agregar un instalador que se comunica con varios servidores de comando y control (C2).
Mitigación
3CX ha confirmado los siguientes clientes y versiones están afectados:
- Electron Windows App (incluida en la Actualización 7) versiones 18.12.407 y 18.12.416
- Electron Mac App 18.11.1213, 18.12.402, 18.12.407 y 18.12.416
Una estrategia conservadora pero recomendada es desinstalar 3CXDesktopApp de inmediato y eliminar cualquier artefacto que quede.
Los usuarios deben buscar retroactivamente indicadores de compromiso y bloquear los dominios reportados en su firewall.
3CX tiene una aplicación web progresiva (PWA) basada en navegador que no requiere que el usuario descargue un archivo ejecutable. Su CEO ha sugerido que los usuarios aprovechen esta PWA por el momento en lugar de los clientes descargables.
Archivos comprometidos
- 3CXDesktopApp.exe
- ffmpeg.dll
- d3dcompiler_47.dll
Dominios malos conocidos
| akamaicontainer[.]com |
| akamaitechcloudservices[.]com |
| azuredeploystore[.]com |
| azureonlinecloud[.]com |
| azureonlinestorage[.]com |
| convieneonline[.]com |
| dunamistrd[.]com |
| glcloudservice.[.] |
| journalide[.]org |
| msedgepackageinfo[.]com |
| msstorageazure[.]com |
| msstorageboxes[.]com |
| officeaddons[.]com |
| officestoragebox[.]com |
| pbxcloudeservices[.]com |
| pbxphonenetwork[.]com |
| pbxsources[.]com |
| qwepoi123098[.]com |
| sbmsa[.]wiki |
| sourceslabs[.]com |
| Soyoungjun[.]com |
| visualstudiofactory[.]com |
| zacharryblogs[.]com |
La información del incidente se estará actualizando en el blog de 3CX.
Cyberseguridad México © 2023
