Hinweis: Dies ist eine überarbeitete Version eines Artikels, der zuerst auf SmarterMSP erschien.
Eine kürzlich erfolgte Kompromittierung hat dazu geführt, dass über die Website von 3CX sowie über Updates trojanisierte Versionen der ausführbaren 3CXDesktopApp verbreitet wurden. Die bösartige Version der 3CX-Anwendung wird zum Sideloading bösartiger .DLL-Dateien verwendet. Diese .DLL-Dateien bilden schließlich eine Malware, die Informationen stiehlt und Systeminformationen sowie im Browser des Benutzers gespeicherte Zugangsdaten abfangen kann. Die gestohlenen Zugangsdaten können dann verwendet werden, um auf die Benutzerkonten zuzugreifen und sensible Daten zu sammeln. Barracuda SOC empfiehlt, auf allen Endgeräten einen Endgeräteschutz zu installieren und sicherzustellen, dass er aktiv ist.
Welcher Art ist die Bedrohung?
Die trojanisierte Version der 3CXDesktopApp wird über das MSI-Installationsprogramm installiert, das auf der Website von 3CX gehostet wird, oder wenn ein Update von einer vorhandenen Installation aus installiert wird. Der Trojaner extrahiert dann bösartige Versionen von ffmpeg.dll und d3dcompiler_47.dll, die verwendet werden, um Symboldateien von GitHub herunterzuladen, die eine Base64-Payload enthalten. Die Base64-Strings werden daraufhin dekodiert, um Malware zum Diebstahl von Informationen herunterzuladen. Diese Malware erfasst System- und Browserinformationen, einschließlich dem Browserverlauf und gespeicherten Zugangsdaten von Chrome, Edge, Firefox und Brave.
Warum sollte man aufmerksam sein?
3CX ist eine Plattform für Geschäftskommunikation, die weltweit genutzt wird. Da der Trojaner in signierten Binärdateien enthalten ist, die auf der offiziellen 3CX-Website gehostet werden, und über Updates verbreitet wird, hat diese Malware das Potenzial, weit verbreitet und schwer zu entdecken zu sein. Die Malware steht im Verdacht, mit dem nordkoreanischen Bedrohungsakteur Labyrinth Chollima in Verbindung zu stehen, endgültige Beweise hierfür gibt es jedoch noch nicht.
Wie hoch ist Risiko einer Exposition?
Wenn die Zugangsdaten des Benutzers im Browser gespeichert werden, hat diese Malware das Potenzial, sich Zugang zu vielen Benutzerkonten zu verschaffen, und somit unter anderem zu personenbezogenen Daten und geschützten Unternehmensinformationen. Die Konten können ebenfalls verwendet werden, um Phishing-Angriffe auf Benutzer zu inszenieren, die nicht vom ursprünglichen Angriff betroffen waren.
Welche Empfehlungen haben Sie?
Barracuda SOC empfiehlt die folgenden Maßnahmen, um die Auswirkungen der 3CX-Malware einzuschränken:
- Stellen Sie sicher, dass auf allen Ihren Endgeräten ein Endgeräteschutz installiert und aktiv ist.
- Wenn 3CX als Ausnahme für Ihren Endgeräteschutz hinzugefügt wurde, entfernen Sie es von den Ausnahmen. Ausnahmen können die Überwachungsebene von Prozessen verringern und möglicherweise dazu führen, dass die Bedrohung übersehen wird.
Referenzen
Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
- https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
- https://www.3cx.com/company/
Hinweis: Dies ist eine überarbeitete Version eines Artikels, der zuerst auf SmarterMSP erschien.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
