Várias empresas de segurança soaram o alarme sobre um ataque ativo à cadeia de suprimentos que está usando uma versão trojanizada do cliente de chamada de voz e vídeo amplamente usado da 3CX para atingir os clientes a jusante.

A 3CX é desenvolvedora de um sistema telefônico baseado em software usado por mais de 600.000 organizações em todo o mundo, incluindo BMW, McDonald's e o Serviço Nacional de Saúde do Reino Unido. A empresa afirma ter mais de 12 milhões de usuários diários em todo o mundo.

Pesquisadores das empresas de segurança cibernética CrowdStrike, Sophos e SentinelOne publicaram na quarta-feira postagens de blog detalhando um ataque no estilo SolarWinds - apelidado de "Smooth Operator" por SentinelOne - que envolve a entrega de instaladores 3CXDesktopApp trojanizados para instalar malware infostealer dentro de redes corporativas.

 Esse malware é capaz de coletar informações do sistema e roubar dados e credenciais armazenadas dos perfis de usuário do Google Chrome , Microsoft Edge, Brave e Firefox. Outras atividades maliciosas observadas incluem sinalização para infraestrutura controlada por ator, implantação de cargas úteis de segundo estágio e, em um pequeno número de casos, “atividade prática no teclado”, de acordo com a CrowdStrike.

Pesquisadores de segurança relatam que os invasores têm como alvo as versões Windows e macOS do aplicativo VoIP comprometido. No momento, parece que as versões Linux, iOS e Android não foram afetadas.

Pesquisadores do SentinelOne disseram que viram pela primeira vez indícios de atividade maliciosa em 22 de março e imediatamente investigaram as anomalias, o que levou à descoberta de que algumas organizações estavam tentando instalar uma versão trojanizada do aplicativo de desktop 3CX que havia sido assinado com um certificado digital válido. O especialista em segurança da Apple, Patrick Wardle, também descobriu que a Apple havia autenticado o malware, o que significa que a empresa verificou se havia malware e nenhum foi detectado.

O CISO da 3CX, Pierre Jourdan, disse na quinta-feira que a empresa está ciente de um “problema de segurança” que afeta seus aplicativos Windows e MacBook.

Jourdan observa que isso parece ter sido um “ataque direcionado de uma Ameaça Persistente Avançada, talvez até mesmo um hacker patrocinado pelo estado”. CrowdStrike sugere que o ator norte-coreano Labyrinth Chollima, um subgrupo do notório Lazarus Group , está por trás do ataque à cadeia de suprimentos.

Como solução alternativa, a empresa 3CX está incitando seus clientes a desinstalar o aplicativo e instalá-lo novamente ou, alternativamente, usar seu cliente PWA. “ Enquanto isso, pedimos desculpas profusamente pelo ocorrido e faremos tudo ao nosso alcance para compensar esse erro”, disse Jourdan.

Há muitas coisas que ainda não sabemos sobre o ataque à cadeia de suprimentos 3CX, incluindo quantas organizações foram potencialmente comprometidas. De acordo com Shodan.io, um site que mapeia dispositivos conectados à Internet, existem atualmente mais de 240.000 sistemas de gerenciamento de telefones 3CX expostos publicamente.

Atualizado em 31 de março para remover a American Express da lista de clientes afetados depois que um porta-voz confirmou ao TechCrunch que o financiador não é cliente da 3CX.