Os pesquisadores da Check Point Software alertam sobre uma versão “trojanizada” do 3CXDesktopApp, o cliente de desktop para o sistema de Voz sobre IP (VoIP) da 3CX, a qual eles descobriram estar sendo baixada pelos usuários. O Cavalo de Troia vem se passando pelo aplicativo 3CXDesktop VoIP, que conta com 12 milhões de usuários no mundo), está sendo baixada para os computadores de seus clientes globalmente.
Segundo os pesquisadores, esta versão inclui um arquivo malicioso de biblioteca dinâmica (DLL) que substitui parte do programa original da 3CX. Assim, quando o aplicativo 3CXDesktopApp é carregado, o cavalo de Troia executa a DLL maliciosa como parte de seu procedimento de instalação. Este tipo de metodologia identifica-se com os clássicos ataques à cadeia de suprimentos, em que não é possível detectar o momento em que estas linhas são escritas no código fonte da 3CXDesktopApp.
Cavalo de Troia que se passa pelo aplicativo 3CXDesktop VoIP
Lotem Finkelstein, diretor de Inteligência de Ameaças & Pesquisa da Check Point Software explica que este é um ataque clássico da cadeia de suprimentos, projetado para explorar relações de confiança entre uma organização e partes externas. Isso incluiria parcerias com fornecedores ou o uso de um software de terceiros do qual a maioria das empresas depende de alguma forma.
A metodologia usada identifica-se, então, de acordo com a Check Point, com os clássicos ataques à cadeia de suprimentos, em que não é possível detectar o momento em que essas linhas são escritas no código fonte do 3CXDesktopApp. Isso porque, para combater soluções sofisticadas de cibersegurança, os cibercriminosos estão desenvolvendo e refinando suas técnicas de ataque, que dependem cada vez menos do uso de malware customizado e passam a utilizar ferramentas sem assinatura.
Para fazer isso, eles usam funcionalidades e ferramentas integradas do sistema operacional, que já estão instaladas nos sistemas de destino, e aproveitam outros programas populares de gerenciamento de TI que são menos propensos a levantar suspeitas quando detectados, bem como programas comerciais de pentesting prontos para uso e ferramentas Red Team.
Proteção XDR/XPR
Para lidar com esses tipos de ameaças, os fornecedores de segurança investem recursos substanciais na pesquisa e mapeamento de tipos e famílias de malware e sua atribuição a agentes de ameaças específicos e campanhas associadas, ao mesmo tempo em que identificam TTPs (Técnicas, Táticas e Procedimentos) que informam a política de segurança correta e ciclos de segurança.
A tarefa básica das soluções de segurança cibernética é reconhecer ferramentas e comportamentos maliciosos antes que esses agentes externos possam atacar. Assim, evita-se as infecções.
Os ataques à cadeia de suprimentos são uma das formas de ataque mais complexas. Os fornecedores de segurança não podem confiar apenas em soluções baseadas em reputação ou em camadas únicas. Eles precisam questionar a atividade vista na rede, endpoints, servidores e conectar os pontos.
As soluções XDR/XPR foram projetadas para fornecer prevenção abrangente contra ameaças, de modo a bloquear imediatamente as ciberameaças originadas de qualquer lugar no ambiente e evitar que elas afetem a organização, interrompendo automaticamente a propagação nos ambientes afetados, ao mesmo tempo em que fornece análises forenses claras do incidente.
Lotem Finkelstein.