cadeia de suprimentos
Várias fontes da mídia estão relatando um ataque em massa à cadeia de suprimentos visando usuários do sistema de telefonia VoIP 3CX. Invasores desconhecidos conseguiram infectar aplicativos 3CX VoIP para Windows e macOS. Agora, os cibercriminosos estão atacando seus usuários por meio de um aplicativo munido e assinado com um certificado 3CX válido. A lista desses usuários é incrível — composta por mais de 600.000 empresas, incluindo marcas conhecidas de todo o mundo (American Express, BMW, Air France, Toyota, IKEA). Vários pesquisadores apelidaram esse ataque malicioso de SmoothOperator.
Aparentemente, os trojans estão escondidos em todas as versões do software lançadas após 3 de março; ou seja, os builds 18.12.407 e 18.12.416 para Windows e 18.11.1213 e posteriores para macOS. De acordo com representantes da 3CX, o código malicioso entrou no programa por causa de algum componente de código aberto trojanizado sem nome que foi usado pela equipe de desenvolvimento.
O ataque via software trojanizado 3CX
Citando pesquisadores de várias empresas, a BleepingComputer descreve o mecanismo de ataque por meio de um cliente Windows trojanizado da seguinte maneira:
- O usuário baixa um pacote de instalação do site oficial da empresa e o executa ou recebe uma atualização de um programa já instalado;
- Uma vez instalado, o programa trojanizado cria várias bibliotecas maliciosas, que são usadas para a próxima etapa do ataque;
- O malware baixa arquivos .ico hospedados no GitHub com linhas de dados adicionais;
- Essas linhas são usadas para baixar a carga maliciosa final — aquela usada para atacar os usuários finais.
O mecanismo para atacar usuários do macOS é um pouco diferente. Você pode encontrar sua descrição detalhada no site da fundação sem fins lucrativos Objective-See.
O que os hackers querem?
O malware baixado é capaz de coletar informações sobre o sistema, bem como roubar dados e salvar credenciais dos perfis de usuário dos navegadores Chrome, Edge, Brave e Firefox. Além disso, os invasores podem implantar um shell de comando interativo que, teoricamente, permite que eles façam quase tudo com o computador da vítima.
Por que esse ataque é especialmente perigoso?
A versão trojanizada do programa é assinada com um certificado legítimo da 3CX Ltd. emitido pela Sectigo — o mesmo certificado usado em versões anteriores do programa 3CX.
Além disso, de acordo com a Objective-See, a versão macOS do malware não é apenas assinada com um certificado válido, mas também autenticada pela Apple! Isso significa que o aplicativo pode ser executado em versões recentes do macOS.
Como se manter seguro
Os desenvolvedores do aplicativo recomendam desinstalar com urgência as versões trojanizadas do programa usando o cliente da web VoIP até que a atualização seja lançada.
Também é aconselhável conduzir uma investigação completa do incidente para garantir que os invasores não tenham tido tempo de assumir o controle dos computadores de sua empresa. Em geral, para controlar o que está acontecendo na rede corporativa e detectar atividades maliciosas em tempo hábil, recomendamos o uso de serviços do tipo [MDR placeholder]Managed Detection and Response (MDR) [/MDR placeholder].
