30 mars 2023Ravie LakshmananChaîne d’approvisionnement / Sécurité des logiciels

Application De Bureau 3Cx

3CX a dit que c’était travailler sur une mise à jour logicielle pour son application de bureau après que plusieurs fournisseurs de cybersécurité ont tiré la sonnette d’alarme sur ce qui semble être une attaque active de la chaîne d’approvisionnement qui utilise des installateurs signés numériquement et truqués du logiciel de conférence vocale et vidéo populaire pour cibler les clients en aval.

« L’application de bureau 3CX trojanisée est la première étape d’une chaîne d’attaque en plusieurs étapes qui extrait les fichiers ICO ajoutés aux données Base64 de GitHub et conduit finalement à une DLL d’infostealer de troisième étape », ont déclaré les chercheurs de SentinelOne. a dit.

L’entreprise de cybersécurité suit l’activité sous le nom LisseOpérateurindiquant que l’auteur de la menace a enregistré une infrastructure d’attaque massive dès février 2022.

3CX, la société derrière 3CXDesktopApp, réclamations avoir plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays, dont certains incluent des noms bien connus comme American Express, BMW, Honda, Ikea, Pepsi et Toyota, entre autres.

Publicité

Alors que le client PBX 3CX est disponible pour plusieurs plateformes, Sophos, citant des données de télémétriea souligné que les attaques observées jusqu’à présent se limitent au client Windows Electron du système téléphonique PBX.

La chaîne d’infection, en un mot, profite de la Technique de chargement latéral de DLL pour charger une DLL malveillante (ffmpeg.dll) conçue pour récupérer une charge utile de fichier icône (ICO). Le référentiel GitHub héberger le fichier a depuis été démonté.

Application De Bureau 3Cx

Le voleur d’informations est capable de collecter des informations système et des données sensibles stockées dans les navigateurs Google Chrome, Microsoft Edge, Brave et Mozilla Firefox.

La société de cybersécurité CrowdStrike a déclaré qu’elle soupçonnait que l’attaque était liée à un acteur de l’État-nation nord-coréen qu’elle suit sous le nom de Labyrinth Chollima (alias Nickel Academy), un sous-groupe au sein du célèbre groupe Lazarus.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

« L’activité malveillante comprend le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle sur le clavier », a déclaré CrowdStrike. ajoutée.

Dans un message sur le forum, le PDG de 3CX, Nick Galea, a déclaré qu’il était en train de publier une nouvelle version au cours des prochaines heures, et a noté que Les versions Android et iOS ne sont pas impactées. « Malheureusement, cela s’est produit parce qu’une bibliothèque en amont que nous utilisons a été infectée », Galea a ditsans donner plus de détails.

En attendant, la société est exhortant ses clients de désinstaller l’application et de la réinstaller, ou bien d’utiliser le client PWA.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédent3 façons d’installer Spotify sur Debian, Ubuntu et Linux Mint
Article suivantNon, un grand requin blanc ne s’est pas échoué en Caroline du Nord, l’image est fausse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici