3CX Electron DesktopApp zlorabljen za krajo podatkov iz spletnih brskalnikov
Podjetje 3CX je opozorilo uporabnike aplikacije 3CX Electron DesktopApp, da so bile nekatere različice zlorabljene za namestitev škodljive programske kode preko dobavne verige, ki je namenjena kraji podatkov iz spletnih brskalnikov. Priporočeno je izvesti postopke odzivanja na omrežne incidente za nameščene zlorabljene različice.
Podjetje 3CX je izdalo varnostno opozorilo za svojo aplikacijo 3CX Electron DesktopApp, ki je bila zlorabljena za namestitev škodljive programske kode preko dobavne verige. Gre za napad zlorabe dobavne verige, pri katerem napadalci preko različnih metod pridobijo dostop do razvijalskih okolij proizvajalca in vrinjajo škodljivo kodo v namestitvene pakete. V primeru 3CX Electron DesktopApp gre za namestitev škodljive programske kode – trojanskega konja tipa “information stealer” – s pomočjo uradnih, digitalno podpisanih namestitvenih paketov za omenjeno aplikacijo.
Napadalci so uspeli vrinjati škodljivo kodo v zlorabljene različice aplikacije, ki so bile izdane za Windows in MacOS platforme. Po namestitvi aplikacije se izvrši prenos škodljive kode kode, ki po namestitvi aplikacije prenese naslednjo stopnjo nalagalnika škodljive programske kode iz GitHub repozitorija (ta je bil v vmesnem času že onemogočen). Gre za ICO datoteke, ki vsebujejo v base64 obliki skrita navodila za prenos naslednje stopnje škodljive programske kode.
Celotna veriga okužbe se zaključi s prenosom DLL datoteke, ki ima karakteristike trojanskega konja, katerega namen je kraja podatkov spletnih brskalnikov (“infostealer trojan”). Informacije kažejo, da gre za krajo vsaj iz brskalnikov Chrome, Edge, Brave in Firefox.
Priporočeno je, da uporabniki, ki so namestili zlorabljene različice aplikacije, izvedejo postopke odzivanja na omrežne incidente. Zlorabljene naj bi bile različice 18.12.407 in 18.12.416 (Windows) ter 18.11.1213, 18.12.402, 18.12.407 in 18.12.416 (MacOS).
Na voljo je powershell skripta, ki jo poženete kot administrator in preveri HASH ogroženih datotek in skripa, ki preveri prisotnost zlorabljenih naslovov v DNS cachu. Prenos.
Vir:
https://www.cert.si/si-cert-2023-02/
https://www.3cx.com/blog/news/desktopapp-security-alert/
https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.119951/