3CX a dit que c’était travailler sur une mise à jour logicielle pour son application de bureau après que plusieurs fournisseurs de cybersécurité ont tiré la sonnette d’alarme sur ce qui semble être une attaque active de la chaîne d’approvisionnement qui utilise des installateurs signés numériquement et truqués du logiciel de conférence vocale et vidéo populaire pour cibler les clients en aval.
« L’application de bureau 3CX trojanisée est la première étape d’une chaîne d’attaque en plusieurs étapes qui extrait les fichiers ICO ajoutés aux données Base64 de GitHub et conduit finalement à une DLL d’infostealer de troisième étape », ont déclaré les chercheurs de SentinelOne. a dit.
L’entreprise de cybersécurité suit l’activité sous le nom LisseOpérateurindiquant que l’auteur de la menace a enregistré une infrastructure d’attaque massive dès février 2022.
3CX, la société derrière 3CXDesktopApp, réclamations avoir plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays, dont certains incluent des noms bien connus comme American Express, BMW, Honda, Ikea, Pepsi et Toyota, entre autres.
Alors que le client PBX 3CX est disponible pour plusieurs plateformes, Sophos, citant des données de télémétriea souligné que les attaques observées jusqu’à présent se limitent au client Windows Electron du système téléphonique PBX.
La chaîne d’infection, en un mot, profite de la Technique de chargement latéral de DLL pour charger une DLL malveillante (ffmpeg.dll) conçue pour récupérer une charge utile de fichier icône (ICO). Le référentiel GitHub héberger le fichier a depuis été démonté.
Le voleur d’informations est capable de collecter des informations système et des données sensibles stockées dans les navigateurs Google Chrome, Microsoft Edge, Brave et Mozilla Firefox.
La société de cybersécurité CrowdStrike a déclaré qu’elle soupçonnait que l’attaque était liée à un acteur de l’État-nation nord-coréen qu’elle suit sous le nom de Labyrinth Chollima (alias Nickel Academy), un sous-groupe au sein du célèbre groupe Lazarus.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
« L’activité malveillante comprend le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle sur le clavier », a déclaré CrowdStrike. ajoutée.
Dans un message sur le forum, le PDG de 3CX, Nick Galea, a déclaré qu’il était en train de publier une nouvelle version au cours des prochaines heures, et a noté que Les versions Android et iOS ne sont pas impactées. « Malheureusement, cela s’est produit parce qu’une bibliothèque en amont que nous utilisons a été infectée », Galea a ditsans donner plus de détails.
En attendant, la société est exhortant ses clients de désinstaller l’application et de la réinstaller, ou bien d’utiliser le client PWA.
