🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Aplicativo de desktop 3CX ativo contínuo, potencialmente afetando 600 mil usuários em todo o mundo

Em 29 de março de 2023, houve relatos de atividades maliciosas originadas de um aplicativo de desktop 3CX assinado. O Falcon Overwatch do CrowdStrike alegou ter observado atividades maliciosas nos binários do Windows e do macOS.
April 3, 2023
6
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Em 29 de março de 2023, houve relatos de atividades maliciosas originadas de um aplicativo de desktop 3CX assinado. O Falcon Overwatch do CrowdStrike alegou ter observado atividades maliciosas nos binários do Windows e do macOS.

Sobre o aplicativo de desktop 3CX

O produto é um aplicativo de softphone que permite fazer e receber chamadas em seu desktop físico. Atualmente, o aplicativo está disponível para todos os principais sistemas operacionais, incluindo Windows, Linux e macOS. A 3CX afirma ter mais de 600.000 clientes em todo o mundo, portanto, essa campanha pode ter efeitos devastadores.

As versões afetadas atualmente conhecidas do aplicativo Electron são:

  • V18.12.407
  • v18.12.416

Observações de comportamento malicioso

  • O binário assinado entra em contato com a infraestrutura controlada pelo atacante e implanta uma carga útil de segundo estágio na vítima. Também há casos em que foi observada atividade prática no teclado, que é uma forma de manter um agente de ameaça humano informado para escapar das defesas e se mover vertical ou lateralmente na infraestrutura.
  • O SentinelOne identificou casos em que há o envolvimento de uma DLL de ladrão de informações de terceiro estágio que estava sendo retirada de um repositório do GitHub (no momento em que escrevo isso, o repositório foi retirado do ar).
  • Também há alegações de que esse ataque envolve um ator de ameaças do estado-nação, LABYRINTH CHOLLIMA/ZINC/Lazarus Group/Black Artemis, que está envolvido nesse sofisticado ataque à cadeia de suprimentos.

Cronograma

Análise de ameaças

De acordo com as evidências conhecidas, podemos supor que a exploração ativa do aplicativo Electron trojanizado começou após 3 de março de 2023. O repositório usado para hospedar a carga útil de vários estágios estava em uso desde 8 de dezembro de 2022. Os alertas foram sinalizados como falsos positivos e a equipe de suporte da 3CX pediu aos usuários que removessem as soluções EDR como solução.

Os seguintes foram identificados como os principais componentes do binário malicioso:

  • 3CXDesktopApp.exe, o carregador limpo
  • d3dcompiler_47.dll, uma DLL com uma carga criptografada anexada
  • ffmpeg.dll, o carregador malicioso trojanizado

O arquivo ffmpeg.dll contém um URL incorporado que recupera um código malicioso .ico carga útil. O arquivo ICO tem a carga útil Base64 no final. Esses dados após a decodificação são usados para baixar outro estágio em alguns casos. A DLL baixada parece ser um ladrão de informações desconhecido, destinado a fazer a interface e exfiltrar os dados salvos do navegador.

Detecção

No momento em que escrevo isso, algumas regras da YARA podem ser usadas para Threat Hunting. Todas as outras regras da YARA são mencionadas na seção de referência.

Uma das regras que podem ser usadas para identificar binários maliciosos de autoria de Florian Roth

Para usuários do SentinelOne, Crowdstrike e Sophos MDR/EDR, há consultas específicas do sistema operacional que são mencionadas em seus avisos (mencionadas na seção Referência).

Indicadores de compromisso

Domain Name

Registered Date

Registrar

akamaicontainer[.]com

14/02/2023

Namecheap

akamaitechcloudservices[.]com

04/01/2023

Namecheap

azuredeploystore[.]com

13/03/2023

Namesilo

azureonlinecloud[.]com

13/02/2023

Namecheap

azureonlinestorage[.]com

05/01/2023

PublicDomainRegistry

msedgepackageinfo[.]com

05/01/2023

Namesilo

msstorageazure[.]com

17/11/2022

Namecheap

msstorageboxes[.]com

09/12/2022

Namecheap

officeaddons[.]com

09/12/2022

PublicDomainRegistry

officestoragebox[.]com

17/11/2022

Namecheap

dunamistrd[.]com

06/12/2022

Namecheap

pbxcloudeservices[.]com

23/12/2022

PublicDomainRegistry

glcloudservice[.]com

06/01/2023

Namecheap

pbxphonenetwork[.]com

25/12/2022

Namesilo

qwepoi123098[.]com

17/11/2022

Namecheap

zacharryblogs[.]com

13/12/2022

Namecheap

sbmsa[.]wiki

09/02/2023

Namecheap

pbxsources[.]com

04/01/2023

Namecheap

sourceslabs[.]com

09/12/2022

eNom, LLC

visualstudiofactory[.]com

17/11/2022

Namecheap

journalide[.]org

08/04/2022

Namecheap

Todos os domínios mencionados acima foram bloqueados a partir de 30 de março de 2023. Também podemos observar que esses domínios foram registrados recentemente. O Namecheap é o favorito dos agentes de ameaças devido às opções de pagamento em BTC fornecidas. Entre os domínios mencionados acima, pudemos encontrar alguns e-mails interessantes nas informações do WHOIS.

Email

Full Name

[email protected]

Diego Garcia

[email protected]

Simpson Remey

[email protected]

Jackie Caudill

[email protected]

Harold Marable

O repositório que hospeda o malware que rouba informações desde 8 de dezembro

  • github [.] com/iconStorages/images

FileName

SHA-256

IconStorages.zip

5c54932fdbb077d73c58ac41a1ad3f6ea5576b3e1f719c8b714b637c9ceb361b

3CXDesktopApp.exe

a60a61bf844bc181d4540c9fac53203250a982e7c3ad6153869f01e19cc36203

3CXDesktopApp.exe

5d99efa36f34aa6b43cd81e77544961c5c8d692c96059fef92c2df2624550734 

3CXDesktopApp.exe

54004dfaa48ca5fa91e3304fb99559a2395301c570026450882d6aad89132a02

3CXDesktopApp.exe

d45674f941be3cca2fbc1af42778043cc18cd86d95a2ecb9e6f0e212ed4c74ae

3CXDesktopApp.msi

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868

3CXDesktopApp.msi

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983

3CXDesktopApp

(macOS Application)

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61

3CXDesktopApp

(macOS Application)

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb

3CXDesktopApp

(macOS DMG Application)

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290

3CXDesktopApp

(macOS DMG Application)

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec

Recomendações

  • Verifique os IOCs mencionados acima para ver a versão trojanizada do aplicativo
  • A recomendação oficial é usar o aplicativo Web App/PWA e não o aplicativo eletrônico por enquanto. As instruções podem ser encontradas aqui.
  • Fique de olho nas mudanças da campanha

Referências

Apêndice

O primeiro binário malicioso assinado conhecido (3 de março de 2023)

Anirudh Batra
Threat Analyst at CloudSEK
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais