Redazione RHC : 30 Marzo 2023 17:10
Gli analisti di CrowdStrike e SentinelOne hanno scoperto attività dannose inaspettate in una versione firmata dell’app desktop 3CX VoIP. Apparentemente, c’è stato un attacco alla catena di approvvigionamento e ora l’applicazione 3CX viene utilizzata per attaccare milioni di clienti dell’azienda.
3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.
Secondo gli esperti di sicurezza delle informazioni, gli aggressori attaccano gli utenti di un softphone compromesso sia su Windows che su macOS.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.“L’attività dannosa include l’impianto di un beacon che comunica con l’infrastruttura degli aggressori, l’implementazione di un payload di seconda fase e, in un numero limitato di casi, l’attività manuale dei criminali informatici”, afferma CrowdStrike.
Gli specialisti di Sophos aggiungono che dopo lo sfruttamento, gli aggressori creano principalmente shell di comando interattive nei sistemi della vittima.
Mentre gli analisti di CrowdStrike sospettano che dietro l’attacco ci sia il gruppo di hacker nordcoreano Labyrinth Collima, i ricercatori di Sophos affermano di “non poter stabilire un’attribuzione con un ragionevole grado di certezza”.
L’attività di Labyrinth Collima di solito si sovrappone ad altri gruppi che vengono tracciati sotto i nomi di Lazarus Group da Kaspersky Lab, Covellite dagli esperti di Dragos, UNC4034 dagli esperti di Mandiant, Zinc da Microsoft e Nickel Academy dagli analisti di Secureworks.
SentinelOne ha definito l’attacco alla catena di approvvigionamento SmoothOperator. L’azienda scrive che l’attacco inizia quando il programma di installazione MSI viene scaricato dal sito Web 3CX o quando viene scaricato un aggiornamento per un’applicazione desktop già installata.
L’installazione di un MSI o di un aggiornamento estrae i file DLL dannosi ffmpeg.dll e d3dcompiler_47.dll, che vengono utilizzati per la fase successiva dell’attacco.
Sebbene Sophos affermi che l’eseguibile 3CXDesktopApp.exe in sé non è dannoso, la DLL dannosa ffmpeg.dll verrà caricata e utilizzata per estrarre il payload crittografato da d3dcompiler_47.dll ed eseguirlo.
Successivamente, il malware scaricherà i file delle icone ospitati su GitHub, che contengono stringhe con codifica base64 aggiunte alla fine dei file immagine, come mostrato nell’esempio seguente.
Il repository GitHub che contiene queste icone mostra che il primo file è stato caricato il 7 dicembre 2022.
Le stringhe base64 menzionate vengono utilizzate per fornire il payload ai dispositivi compromessi. Questo malware è in grado di raccogliere informazioni di sistema, oltre a rubare accessi e password salvati dai profili nei browser Chrome, Edge, Brave e Firefox.
“Al momento non siamo in grado di confermare che il programma di installazione del Mac sia trojanizzato. La nostra attuale indagine include applicazioni aggiuntive, inclusa un’estensione di Chrome, che possono essere utilizzate anche per gli attacchi”, scrivono gli esperti. “Gli aggressori hanno costruito una vasta infrastruttura dal febbraio 2022, ma non vediamo ancora collegamenti evidenti a cluster di minacce noti”.
CrowdStrike segnala che una versione dannosa del client 3CX si connetterà a uno dei seguenti domini controllati dagli aggressori.
RedazioneUn’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...
E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...
Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...
Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...
Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...
