Implica la entrega de instaladores troyanos para robar información dentro de las redes corporativas. Cómo funciona y protegerse.
Diversas empresas de seguridad han alertado sobre un ataque activo a la cadena de suministro, que utiliza una versión troyanizada de 3CX con llamadas de voz y videollamadas para atacar a clientes intermedios. De acuerdo con TechCrunch, 3CX es un desarrollador de sistema telefónico basado en un software utilizado por más de 600.000 organizaciones en todo el mundo, dentro de las cuales destaca American Express, BMW y McDonald's, entre otras.
Los investigadores de las empresas de ciberseguridad CrowdStrike, Sophos y SentinelOne, detallaron un ataque estilo SolarWinds, denominado “Smooth Operator” por SentinelOne. Implica la entrega de instaladores troyanos de 3CXDesktopApp para infiltrar malware dentro de las redes corporativas para robar información.
Este malware es capaz de recopilar información del sistema y sustraer datos y credenciales almacenadas de los perfiles de usuario de Google Chrome, Microsoft Edge, Brave y Firefox. Otra actividad maliciosa observada incluye la señalización a la infraestructura controlada por el actor, el despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, "actividad práctica en el teclado", según CrowdStrike.
Le puede interesar: Radware presentó soluciones para la protección de las aplicaciones en la nube
Asimismo, informaron que los atacantes tienen como objetivo las versiones de Windows y MacOS de la aplicación VoIP, la cual se encuentra comprometida. Actualmente, parece que las versiones de Linux, iOS y Android no se ven afectadas.
Por su parte, los especialistas de SentinelOne indicaron que observaron por primera vez indicios de actividad maliciosa el 22 de marzo e inmediatamente investigan las anomalías, lo cual llevó al descubrimiento que algunas organizaciones estaban intentando instalar una versión troyana de la aplicación de escritorio 3CX que había sido firmada con un certificado digital válido. El experto en seguridad de Apple, Patrick Wardle, descubrió que la empresa había registrado el malware, lo que significa que la firma lo revisó en busca de malware y no se detectó ninguno.
Con respecto a las anomalías, el CISO de 3CX, Pierre Jourdan, indicó que la compañía está al tanto de un "problema de seguridad" que afecta a sus aplicaciones de Windows y MacBook. Señaló que esto parece haber sido un “ataque dirigido de una amenaza persistente avanzada, incluso un hacker patrocinado por el estado”.
Como una solución momentánea, la empresa 3CX insta a sus clientes a desinstalar la aplicación y volver a descargarla. “Mientras tanto, nos disculpamos profundamente por lo ocurrido y haremos todo lo que esté a nuestro alcance para compensar este error”, dijo Jourdan.
Hasta el momento, se desconoce cuántas empresas han sido afectadas por este ataque. Sin embargo, el sitio Shodan.io indicó que 240.000 sistemas de administración de teléfonos 3CX han sido expuestos públicamente.
Comments