Cybersäkerhetsforskare har varnat för hotaktörer som missbrukar ett fel i en VoIP-lösning (öppnas i en ny flik) som används av några av världens största varumärken.
Flera cybersäkerhetsföretag har slagit larm om 3CX, inklusive Sophos och CrowdStrike, och säger att hotaktörer aktivt riktar sig mot användare av komprometterade 3CX-skrivbordsklienter på Windows och macOS.
3CX:s VoIP-plattform har mer än 600.000 12 kunder och mer än XNUMX miljoner dagliga användare, enligt en rapport från BleepingComputer, med kunder som American Express, Coca-Cola, McDonald's, BMW och många fler.
Stjäla känslig data
Sårbara versioner av 3CXDesktop-applikationen inkluderar 18.12.407 och 18.12.416 för Windows och 18.11.1213 för macOS. En av de trojaninfekterade klienterna signerades digitalt i början av mars med ett legitimt 3CX-certifikat utfärdat av DigiCert, enligt publikationen.
"Skadlig aktivitet inkluderar taggning av aktörskontrollerad infrastruktur, distribution av andra stegs nyttolaster och, i ett litet antal fall, manuell tangentbordsaktivitet", förklarar CrowdStrike. "Den vanligaste aktiviteten efter exploatering som hittills observerats är skapandet av ett interaktivt kommandoskal", heter det i Sophos-rapporten.
Ett annat cybersäkerhetsföretag, SentinelOne, tillade att skadlig programvara kan stjäla systeminformation såväl som data som lagras i webbläsarna Chrome, Edge, Brave och Firefox. Dessa inkluderar ofta inloggningsuppgifter och betalningsinformation.
Eftersom forskare misslyckas med att nå enighet om angriparnas identitet, misstänker CrowdStrike Labyrinth Collima, en nordkoreansk statssponsrad hackergrupp.
"LABYRINTH CHOLLIMA är en undergrupp av vad som har beskrivits som Lazarus Group, som inkluderar andra motståndare kopplade till Nordkorea, inklusive SILENT CHOLLIMA och STARDUST CHOLLIMA."
Företaget erkände attacken på sin blogg och bekräftade att det arbetade på en fix:
"Vi beklagar att vi informerade våra partners och kunder om att vår Electron Windows-applikation som levererades i Update 7, versionsnummer 18.12.407 och 18.12.416, innehåller ett säkerhetsproblem. Antivirusleverantörer rapporterade den körbara '3CXDesktopApp.exe och i många fall avinstallerade de den ", står det i annonsen. "Problemet verkar vara ett av de inkluderade biblioteken som vi kompilerade till Windows Electron-applikationen via GIT. Vi undersöker fortfarande frågan så att vi kan ge ett mer detaljerat svar senare idag. »
"Under tiden ber vi djupt om ursäkt för det som hände och kommer att göra allt i vår makt för att kompensera för detta misstag."
Via: BleepingComputer (öppnas i en ny flik)