Поставщик бизнес-телефонии 3CX предупреждает пользователей своего софтфона о необходимости удалить программное обеспечение и переключиться на его эквивалентное веб-приложение после того, что он называет атакой на цепочку поставок.
Генеральный директор Ник Галеа сообщил, что вредоносное ПО «влияет на клиент Windows Electron для клиентов, использующих обновление 7».
«Нам сообщили [last] Ночью мы работаем над обновлением DesktopApp, которое выпустим в ближайшие часы», — написал он.
«Вместо этого мы настоятельно рекомендуем использовать наш клиент PWA. Он действительно делает 99 процентов клиентского приложения и полностью основан на Интернете, и такого никогда не может произойти».
Галеа также сказал, что пользователи Защитника Windows уже заметили, что приложение было удалено.
Вредоносное ПО было обнаружено независимо друг от друга SentinelOne и CrowdStrike.
SentinelOne сказал, что впервые заметил вредоносную активность исходящие из программного обеспечения 3CX 22 марта.
«Троянизированное приложение 3CXDesktopApp является первым этапом в многоэтапной цепочке атак, которая извлекает файлы ICO с добавленными данными base64 из GitHub и в конечном итоге приводит к тому, что на момент написания статьи DLL-библиотека для кражи информации все еще анализируется», — сказал SentinelOne.
CrowdStrike сказал аналогичное поведение наблюдалось 29 марта.
По словам CrowdStrike, вредоносная активность исходила от «законного подписанного двоичного файла 3CXDesktopApp».
Эта деятельность «включает в себя отправку маяка в контролируемую субъектом инфраструктуру, развертывание полезной нагрузки второго этапа и, в некоторых случаях, практическую деятельность на клавиатуре», — говорится в сообщении.
«CrowdStrike Intelligence оценила предполагаемую причастность национального государства со стороны злоумышленника LABYRINTH CHOLLIMA», — говорится в сообщении компании.
На своем веб-сайте 3CX утверждает, что у нее 600 000 бизнес-клиентов и 12 миллионов пользователей в день.
Читать полную новость на сайте