Recientemente se conoció, que se ha producido un nuevo ataque a la cadena de abastecimiento, el cual, está dirigido a clientes de un sistema telefónico, la compañía alega poseer más de 12 millones de usuarios.
Hay que mencionar que son múltiples empresas de seguridad las cuales han encendido las alarmas sobre un nuevo ataque activo a la cadena de suministro. Todo parece indicar, que se está utilizando una versión que incluye troyanos del cliente de llamadas de voz y video de 3CX el cual es utilizado, para entre otras cosas, apuntar a los clientes intermedios. Si desea conocer todo acerca de este importante tema ¡Descubra los mejores datos aquí!
Detalles sobre el ataque a la cadena de suministro
Primero que nada hay que dejar claro que el 3CX es el desarrollador de un sistema telefónico, el cual, está basado en software utilizado por más de 600.000 organizaciones a nivel mundial. Suele ser utilizado por importantes compañías como: BMW, McDonald’s, así como también el Servicio Nacional de Salud del Reino Unido, entre otros.
Investigadores de las empresas de seguridad cibernética entre ellas CrowdStrike, así como Sophos y SentinelOne anunciaron recientemente publicaciones de blog que detallan un ataque al estilo de SolarWinds, nombrado “Smooth Operator” por SentinelOne, el cual implica la entrega de instaladores troyanos de 3CXDesktopApp para instalar malware de hurto de información dentro de las redes corporativas.
Según se conoció, este malware tiene la capacidad de poder recolectar información del sistema y robar datos, así como también credenciales almacenadas de los perfiles de usuario de Google Chrome, Microsoft Edge, Firefox y Brave. Ahora bien, otra actividad maliciosa observada según CrowdStrike, incluye la señalización a la infraestructura controlada por el actor, el despliegue de cargas útiles de segunda etapa, así como también en menor medida “actividad práctica en el teclado”.
¿Cuál es el objetivo de los atacantes?
Si hay un punto muy importante que hay que señalar, es que los investigadores de seguridad advierten que los atacantes tienen como objetivo las versiones de sistemas operativos Windows y macOS de la aplicación VoIP comprometida. Todo parece indicar que actualmente, versiones de Linux, así como iOS y Android no se ven afectadas.
Asimismo, según indican investigadores de SentinelOne los primeros indicios maliciosos se vieron el 22 de marzo a lo que inmediatamente comenzaron a investigar las anomalías. Estas investigaciones dieron como resultado que algunas organizaciones estaban tratando de instalar una versión con troyanos de la aplicación de escritorio 3CX que había sido firmada con un certificado digital válido.
Pierre Jourdan, el CISO de 3CX, mencionó que la compañía está al tanto de un “problema de seguridad” que afecta sus aplicaciones de Windows y MacBook. Al mismo tiempo que señaló que todo parece indicar que ha sido un “ataque dirigido de una amenaza persistente avanzada” que incluso podría tratarse de un hacker patrocinado por el estado.
Aunque actualmente, hay muchos datos que aún no se conocen sobre este ataque a la cadena de abastecimiento, la empresa 3CX exhorta a sus clientes a desinstalar la aplicación y volver a instalarla, o también podrían utilizar su cliente PWA. Incluso la compañía también mencionó que harán lo que este a su alcance y más por compensar este error.
