banner edicion impresa

Monitor Software


Nuevo malware ataca a cadena de suministro de 3CX DesktopApp

Nuevo malware ataca a cadena de suministro de 3CX DesktopApp
El malware aplicado aparece en todas las versiones de software que fueron lanzadas por 3CX después del 3 de marzo

Publicación:11-04-2023
++--

Los piratas informáticos continúan acechando pleno rendimiento a las empresas.

En los últimos días, investigadores de seguridad informática han alertado sobre el ataque masivo que está recibiendo la cadena de suministro dirigido a los usuarios del sistema de telefonía VolP 3CX, infectando 3CX Desktop App tanto en dispositivos Windows como en macOS, Linux y dispositivos móviles.

Según los investigadores de seguridad de Sophos y CrowdStrike, los delincuentes informáticos están atacando a los usuarios a través de una aplicación que aparece firmada digitalmente con un certificado 3CX válido. El CEO de 3CX, Nick Galea, afirmó de este modo que "como muchos de ustedes han notado, la aplicación de escritorio 3CX tiene un malware. Afecta al cliente de Windows Electron para los clientes que ejecutan la actualización 7".

Consecuencias sobre más de 500.000 empresas

3CX es una empresa de desarrollo de software VolP IPBX cuyo Sistema Telefónico 3CX tiene más de 12 millones de usuarios al día en 190 países, por lo que las consecuencias del ciberataque son de grandes dimensiones. Su aplicación de escritorio permite a los clientes hacer llamadas, chatear, realizar videoconferencias y revisar el correo de voz.

Como se informa y era de esperar ante tal ataque, la lista de afectados es muy amplia y es que más de 600.000 empresas se han visto damnificados por la actividad maliciosa. Entre estas firmas que se han visto alteradas por el ya denominado por los investigadores como SmoothOperator, se encuentran marcas popularmente conocidas por todo el mundo como American Express, BMW, Air France, Pepsi, Toyota, Honda o IKEA.

Desde el pasado 29 de marzo, CrowdStrike alertó de la presencia de esta actividad maliciosa que provenía del cliente de escritorio 3CX VoiceOver Internet Protocol (VOIP), para atacar de forma continua a la cadena de suministro. La empresa estadounidense de tecnología de ciberseguridad declaró en este sentido que "la actividad maliciosa incluye la señalización a la infraestructura controlada por el actor, el despliegue de cargas útiles de segunda etapa y, en una pequeña cantidad de casos, la actividad práctica del teclado".

Para la empresa estadounidense de seguridad SentineOne, "el 3CXDesktopApp troyanizado es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO adjuntos con datos base64 de GitHub y, en última instancia, conduce a una DLL de robo de información de tercera etapa que aún se está analizando en el momento de escribir este artículo"

Por su parte, Sophos, empresa británica de software y hardware de seguridad declaró que "la actividad posterior a la explotación más común observada hasta la fecha es la generación de un shell de comando interactivo". Con ello, los ciberdelincuentes pueden hacerse con el control total del ordenador de la víctima y es que puede recopilar información, robar datos y guardar credenciales de los perfiles de usuario de los navegadores Google Chrome, Microsoft Edge, Brave y Mozilla Firefox.

Nueva actualización para 3CX Desktop App

El malware aplicado aparece en todas las versiones de software que fueron lanzadas por 3CX después del 3 de marzo, aludiendo de esta forma a las 18.12.407 y 18.12.416 para Windows, y la 18.11.1213 y posteriores en el caso de macOS. Ante tal invasión de seguridad acaecida, el desarrollador internacional de software 3CX, ya trabaja en una nueva actualización de software para su aplicación de escritorio que se prevé ser lanzada en las próximas horas en vista a detener el ataque.

Mientras que esta llega y se hace efectiva para los clientes, desde la empresa 3CX se ha recomendado a los usuarios que utilicen PWA (aplicación web progresiva), e igualmente que desinstalen y reinstalen su aplicación.



« Especial »