I Firewall Sonicwall proteggono nei confronti dell’attacco supply-chain al software desktop di 3CX

Il team di ricerca sulle minacce dei SonicWall Capture Labs ha osservato e analizzato un malware noto come SmoothOperator che è stato incorporato nell’applicazione desktop 3CX VoIP. Questo è il risultato della compromissione dei server 3CX e dell’accesso degli aggressori ai file pubblicamente disponibili per il download da parte dei clienti. 3CX è un popolare software Voice over Internet Protocol (VoIP) che consente agli utenti di effettuare e ricevere chiamate via Internet. È un’applicazione per conferenze multipiattaforma che offre funzionalità quali la registrazione delle chiamate, le videoconferenze e l’integrazione con altri strumenti di comunicazione come Microsoft Teams e Zoom.

Ciclo di infezione:
Un cliente ignaro scarica l’applicazione 3CX sul proprio computer insieme alle DLL compromesse “ffmpeg.dll” e “d3dcompiler_47.dll”. “d3dcompiler_47.dll” contiene dati dannosi aggiunti dopo la directory di sicurezza. Quando l’utente lancia l’applicazione 3CX, questa carica “ffmpeg.dll” che legge ed esegue lo shellcode dannoso da “d3dcompiler_47.dll”.

SonicWall Capture Labs offre protezione contro questa minaccia tramite le seguenti firme:

GAV: MacOSX.3CX (Trojan)
GAV: MacOSX.3CX_1 (Trojan)
GAV: Dropper.3CX (Trojan)
GAV: Dropper.3CX_1 (Trojan)
GAV: Agent.3CX (Trojan)
GAV: Agent.3CX_1 (Trojan)

Questa minaccia viene rilevata anche da SonicWall Capture ATP w/RTDMI e dalle soluzioni endpoint Capture Client.I clienti SonicWall possono anche abilitare le seguenti firme delle applicazioni per identificare la presenza dell’applicazione 3CX sui loro sistemi e sulla loro rete:

2805 => VoIP-APPS 3CX Phone System — HTTPS Activity 1
2810 => VoIP-APPS 3CX Phone System — HTTPS Activity 2
3451 => VoIP-APPS 3CX Phone System — UDP Activity

[ approfondisci ]