Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

[Actualización 03/04/2023] Ataque a la cadena de suministro para la distribución de malware en 3CX DesktopApp

Fecha de publicación 31/03/2023
Importancia
5 - Crítica
Recursos Afectados
  • Electron Windows App publicado en la Update 7, versiones:
    • 18.12.407;
    • 18.12.416.
  • Electron Mac App, versiones:
    • 18.11.1213;
    • 18.12.402;
    • 18.12.407;
    • 18.12.416.

Se trata de las versiones para Windows y macOS. El software se encuentra también disponible para Linux y dispositivos móviles, pero estas versiones no se han visto afectadas por el momento.

Descripción

CISA ha publicado una alerta para informar sobre una campaña de ataque a la cadena de suministro para la distribución de un malware de tipo troyano, que sustituye a las versiones legítimas del producto DesktopApp del fabricante 3CX.

Este producto está orientado a conferencias de voz y vídeo y permite enrutar llamadas de centralitas privadas. Este ataque a 3CX DesktopApp compromete a los usuarios, de manera que los atacantes podrían realizar una segunda etapa de ataques contra los usuarios que hayan sido afectados para acometer más acciones maliciosas.

Solución

El fabricante recomienda utilizar la aplicación web (PWA) en sustitución de DesktopApp, es decir, se debe acceder a 3CX a través de un navegador, en lugar de con la aplicación de escritorio.

Se aconseja no instalar ninguna versión de este software, ya que no se conocen todas las posibles versiones del instalador afectadas en esta campaña.

Adicionalmente, se sugiere a los usuarios del producto afectado revisar los informes de las compañías SentinelOne y CrowdStrike, en caso de que se quiera obtener más información.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Detalle

La información conocida por las compañías SentinelOne y CrowdStrike identifica la existencia de un archivo para la instalación del software legítimo y firmado digitalmente de 3CX DesktopApp.

En ese fichero se han podido apreciar modificaciones sustanciales con capacidades de troyanización y que permitirían una actividad maliciosa por parte de un atacante desde una infraestructura remota controlada por él, pudiendo realizar acciones maliciosas adicionales, como capturas de teclado, información de navegación…

Así notifica el cortafuegos de Windows Defender la detección de este software malicioso que ha hecho saltar las alarmas:

Windows Defender 3CX DesktopApp

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).