Ataque a la cadena de suministro en clientes de 3CX

Los ciberdelincuentes están atacando a los usuarios del software de telefonía VoIP 3CX a través de aplicaciones infectadas con troyanos.

Los medios de noticias están informando sobre un ataque masivo a la cadena de suministro dirigido a los usuarios del sistema de telefonía VoIP 3CX. Unos atacantes desconocidos han logrado infectar las aplicaciones con el VoIP 3CX tanto en Windows como en macOS, por lo que ahora los ciberdelincuentes están atacando a sus usuarios a través de una aplicación firmada armada con un certificado 3CX válido. La lista de usuarios afectados es bastante larga: consta de más de 600000 empresas, incluidas marcas conocidas en todo el mundo: American Express, BMW, Air France, Toyota o IKEA. Varios investigadores han denominado este ataque malicioso como SmoothOperator.

Aparentemente, los troyanos se esconden en todas las versiones del software lanzadas después del 3 de marzo; es decir, 18.12.407 y 18.12.416 para Windows y 18.11.1213 y posteriores para macOS. De acuerdo con los representantes de 3CX, el código malicioso accedió al programa debido a un componente de código abierto infectado con un troyano desconocido que utilizó el equipo de desarrollo.

El ataque a través del software 3CX infectado

Citando a investigadores de varias empresas, BleepingComputer describe el mecanismo de ataque a través de un cliente de Windows infectado con un troyano de la siguiente forma:

  • el usuario descarga un paquete de instalación del sitio web oficial de la empresa y lo ejecuta, o recibe una actualización de un programa ya instalado;
  • una vez instalado, el programa infectado crea varias bibliotecas maliciosas, que se utilizan para la siguiente etapa del ataque;
  • entonces, el malware descarga archivos .ico alojados en GitHub con líneas adicionales de datos en su interior;
  • estas líneas se usan para descargar la carga maliciosa final, con la que se consigue atacar a los usuarios finales.

El mecanismo para atacar a los usuarios de macOS es algo diferente. Puedes encontrar toda la información en el sitio web de la fundación sin ánimo de lucro Objective-See.

¿Qué buscan los ciberdelincuentes?

El malware descargado puede recopilar información sobre el sistema, así como robar datos y guardar credenciales de los perfiles de usuario de los navegadores Chrome, Edge, Brave y Firefox. Además, los atacantes pueden implementar un shell de comandos interactivo que, en teoría, les permite hacer casi todo con el ordenador de la víctima.

¿Por qué este ataque resulta especialmente peligroso?

La versión infectada del programa está firmada con un certificado legítimo 3CX Ltd. emitido por Sectigo, el mismo certificado utilizado en versiones anteriores del programa 3CX.

Además, de acuerdo con Objective-See, la versión macOS del malware no solo está firmada con un certificado válido, sino que también está certificada por Apple. Esto significa que la aplicación puede ejecutarse en versiones recientes de macOS.

Cómo mantenerte a salvo

Los desarrolladores de la aplicación recomiendan desinstalar urgentemente las versiones infectadas del programa utilizando el cliente web de VoIP hasta que se publique la actualización.

También es aconsejable realizar una investigación exhaustiva del incidente para asegurarte de que los atacantes no hayan tenido tiempo de apoderarse de los ordenadores de tu empresa. En general, para controlar todo lo que sucede en la red corporativa y detectar a tiempo la actividad maliciosa, recomendamos utilizar los servicios del tipo Managed Detection and Response (MDR).

Consejos