Remarque : il s'agit d'une version modifiée d'un article paru pour la première fois sur SmarterMSP
Suite à une récente compromission, des versions trojanisées de l'exécutable 3CXDesktopApp ont été distribuées sur le site Web de 3CX ainsi que par le biais de mises à jour. La version malicieuse de l'application 3CX est utilisée pour charger des fichiers .DLL malicieux, qui créeront à terme un malware voleur d'informations capable de récolter des informations système ainsi que des identifiants stockés dans le navigateur de l'utilisateur. Les identifiants volés peuvent être utilisés pour accéder aux comptes d'un utilisateur et collecter des données sensibles. Barracuda SOC recommande d'installer une protection sur tous les points de terminaison et de s'assurer qu'elle est active.
Nature de la menace
La version trojanifiée de 3CXDesktopApp est installée via le programme d'installation MSI hébergé sur le site Web de 3CX ou lors de l'installation d'une mise à jour à partir d'une installation existante. Le cheval de Troie extrait alors une version malicieuse de ffmpeg.dll et de d3dcompiler_47.dll, qui seront utilisés pour télécharger des fichiers d'icônes à partir de GitHub contenant une charge utile Base64. Les chaînes Base64 sont ensuite décodées pour télécharger des malwares voleurs d'informations, qui collectent les informations système et les informations du navigateur, notamment l'historique du navigateur et les identifiants stockés dans Chrome, Edge, Firefox et Brave.
Pourquoi est-ce important ?
3CX est une plateforme de communication professionnelle utilisée dans le monde entier. Le cheval de Troie étant présent dans des fichiers binaires signés hébergés sur le site Web officiel de 3CX et soumis à des mises à jour, ce malware peut à la fois se propager et être difficile à détecter. L'acteur de menace nord-coréen Labyrinth Chollima serait à l'origine de ce malware, mais il n'existe encore aucune preuve tangible à ce sujet.
Quel est le risque ou le degré d'exposition ?
Si les identifiants de connexion de l'utilisateur sont stockés dans le navigateur, ce malware a le potentiel d'accéder à de nombreux comptes de l'utilisateur, notamment des informations personnelles et des informations exclusives sur l'entreprise. Les comptes peuvent également être utilisés pour lancer des attaques par hameçonnage contre des utilisateurs qui n'ont pas été touchés par l'attaque initiale.
Quelles sont les recommandations ?
Barracuda SOC recommande les mesures suivantes pour limiter l'impact du malware 3CX :
- Assurez-vous d'avoir installé une protection adaptée et qu'elle est active sur tous vos points de terminaison.
- Si 3CX a été ajouté en tant qu'exclusion dans la protection de vos points de terminaisons, supprimez-le de la liste. Les exclusions peuvent réduire le niveau de surveillance des processus et potentiellement faire en sorte que la menace ne soit pas détectée.
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
- https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
- https://www.3cx.com/company/
Remarque : il s'agit d'une version modifiée d'un article paru pour la première fois sur SmarterMSP
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
