Attacco a 3CX: in circolazione versioni trojanized (trojanizzate) e con firma digitale fasulla della diffusissima 3CXDesktopApp, scaricabili installando gli ultimi aggiornamenti. Nel mirino dell’attacco principalmente le versioni client desktop per Windows e MacOS.

Date le potenziali ripercussioni, la software house consiglia la temporanea disinstallazione dell’applicazione nativa, sostituibile in sicurezza con la versione PWA (Progressive Web App). Ma analizziamo in dettaglio cosa sta accadendo.

  1. 3CX hackerata: le segnalazioni dei provider di sicurezza
  2. I dettagli dell’attacco all’app desktop 3CX
  3. 3CX raccomanda di disinstallare immediatamente l’app desktop
3cx hacked

3CX hackerata: le segnalazioni dei provider di sicurezza

Le prime segnalazioni risalgono alla scorsa notte, quando i rilevamenti della piattaforma di sicurezza CrowdStrike Falcon hanno evidenziato anomalie nella VoIP IPBX. Analisi successive compiute da SentinelOne, ESET, Palo Alto Networks e SonicWall confermano la natura e i processi sospetti dell’applicativo.

Più nel dettaglio, si tratterebbe di un attacco alla supply chain di 3CX con l’intento di intaccare le circa 600.000 realtà aziendali che ne fanno abitualmente uso, e che equivarrebbero a circa 12 milioni di utenti in 190 Paesi. Nel mirino le versioni  18.12.407 e 18.12.416 dei dispositivi Windows, e MacOS 18.11.1213, 18.12.402, 18.12.407 e 18.12.416.

Nel caso di Windows pare che ad essere sfruttata sia stata una vulnerabilità nota già dal 2013 e classificata come CVE-2013-3900. Si tratta di una falla nella convalida della firma WinVerifyTrust, che permette di scaricare ed eseguire file senza invalidarne la firma.

Soprannominata SmoothOperator, si tratterebbe di un’offensiva cibernetica a catena multistadio, suddivisa in:

  1. Beaconing (monitoraggio analitico) dell’ambiente operativo
  2. Installazione di payload malevoli
  3. Esecuzione di infostealer, capaci di esfiltrare password e credenziali di accesso dai device e dagli account delle vittime
  4. Potenziale apertura di backdoor, che consentirebbero all’aggressore di eseguire codice arbitrario sui device infettati

Pare che l’attacco sia riconducibile a LabirinthCollima, tra le più prolifiche cybergang nordcoreane. Tuttavia, a quest’altezza non è ancora possibile attribuirne con certezza la paternità; difatti, non mancano riferimenti a matrici differenti, come:

  1. Lazarus Group
  2. Covellite
  3. UNC4034
  4. Zinc
  5. Nickel Academy

I dettagli dell’attacco all’app desktop 3CX

Pare che l’attacco a 3cX sia partito da una violazione dei server DLL di 3CX. Sebbene non siano ancora chiari i meccanismi, gli hacker sono riusciti a infiltrarsi e a iniettarvi codici trojan. Nello specifico, l’attacco prenderebbe avvio al momento dell’installazione o dell’aggiornamento dell’MSI, ovvero il pacchetto contenente i file e le specifiche sequenze di installazione di un applicativo.

Il file 3CXDesktopApp.exe, pur non essendo stato direttamente intaccato, al momento dell’esecuzione, richiama il file DLL infetto (ffmpeg.dll).

Quest’ultimo, poi, attua il cosiddetto caricamento laterale della DLL (DLL Sideloading), consistente nel richiamare ed eseguire DLL dannose, anziché quelle legittime. Quindi ffmpeg.dll legge e decrittografa il codice crittografato da d3dcompiler_47.dll.

A questo punto, vengono scaricati payload contenuti nella repository GitHub raw.githubusercontent[.]com/IconStorages/images/main/ (ora non più disponibile, ma attivo già da inizio dicembre 2022). Si tratta di file .iso (quindi immagini raster) contenenti stringhe crittografate Base64: sarebbero proprio queste ultime ad avviare i payload di comando e controllo reindirizzando a specifici domini controllati dagli aggressori.

Il tutto è reso possibile dal fatto che la firma digitale fasulla impiegata nella versione fraudolenta viene scambiata come legittima. Il che ha diffuso come leciti gli ultimi update di aggiornamento. Nella pratica, l’infezione è in grado di:

  • Esfiltrare e dirottare informazioni di sistema e credenziali di accesso memorizzate sui browser Chrome, Firefox, Safari e Brave
  • Aprire (potenzialmente) backdoor sui device, rendendo quindi l’infiltrazione di agenti malevoli indipendente da 3CX stessa.

Nelle immagini è possibile osservare come i sistemi antivirus segnalino la presenza del bug.

app-3cx-hackerata
app 3cx hackerata
app-3cx-hackerata

3CX raccomanda di disinstallare immediatamente l’app desktop

Sull’accaduto sono intervenuti gli stessi CEO e CISO 3CX, raccomandando tutti gli utenti di disinstallare l’applicazione, virando sulla versione web.

Questo almeno finché non verrà rilasciata una versione corretta dell’app nativa, che, a quanto riporta il CISO Pierre Jourdan, sarà fornita anche di un nuovo certificato digitale. Nello stesso comunicato pubblicato sul blog ufficiale, questi evidenzia come l’app web riesca a garantire il 95% di tutte le funzionalità, garantendo al contempo l’installazione automatica degli aggiornamenti tramite browser.

Contattaci per effettuare un Vulnerability Assessment con i nostri consulenti Cyberment. Se anche la tua azienda utilizza abitualmente 3CX, ricorda che la disinstallazione è solo una misura di contenimento.

Il Vulnerability Assessment Cyberment permette di ottenere un’istantanea sullo stato di sicurezza dei sistemi, rilevando se la vulnerabilità 3CX sia effettivamente presente. Inoltre, i nostri consulenti potranno guidarti nell’analisi di segnalazioni e log registrati rispettivamente da antivirus e firewall.

In tal modo si potrà:

  • rilevare se l’antivirus ha effettivamente segnalato e rimosso la minaccia
  • bloccare contestualmente le chiamate ai domini contraffatti, nel caso in cui siano state evidenziate dal firewall.