Un attacco alla catena di fornitura sta colpendo il client desktop 3CX, un software per la telefonia VoIP utilizzato da oltre 600.000 aziende e 12 milioni di utenti quotidiani in tutto il mondo.
Gli obiettivi dell’attacco e le piattaforme colpite
Secondo le ricerche di Sophos e CrowdStrike, gli aggressori stanno prendendo di mira gli utenti Windows e macOS dell’applicazione compromessa 3CX. Tra i clienti di 3CX figurano aziende e organizzazioni di alto profilo come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e Holiday Inn.
L’attacco alla catena di fornitura “SmoothOperator” Sophos e SentinelOne
hanno rivelato che l’applicazione desktop compromessa di 3CX viene scaricata in un attacco alla catena di fornitura, denominato “SmoothOperator” da SentinelOne. L’attacco inizia quando l’installer MSI viene scaricato dal sito web di 3CX o viene inviato un aggiornamento a un’applicazione desktop già installata.
Le tecniche di attacco e le conseguenze
Una volta installato l’aggiornamento o l’MSI, vengono estratti dei file DLL malevoli che vengono utilizzati per eseguire la fase successiva dell’attacco. Il malware scarica icone ospitate su GitHub contenenti stringhe Base64 incorporate nelle immagini. Queste stringhe vengono utilizzate per scaricare un payload finale sui dispositivi compromessi: un malware ruba-informazioni precedentemente sconosciuto sotto forma di DLL.
Gruppi di hacker sospettati e risposte delle aziende
CrowdStrike sospetta che un gruppo di hacker nordcoreano chiamato Labyrinth Chollima sia responsabile dell’attacco, mentre Sophos afferma di non poter verificare questa attribuzione con alta fiducia. Molti clienti di 3CX hanno segnalato di aver ricevuto avvisi di sicurezza su software quali SentinelOne, CrowdStrike, ESET, Palo Alto Networks e SonicWall. 3CX non ha ancora riconosciuto pubblicamente il problema.
