L’application de 3CX pour Windows et macOS est infectée par un malware : des millions de postes sont exposés !
Si vous utilisez le client de bureau 3CX ou que vos clients l'utilisent, alors vous devez prendre cette alerte très au sérieux ! L'application officielle est infectée par un malware qui vole des informations sur les machines où l'application est installée !
Extrêmement populaire à l'échelle mondiale, l'application de téléphonie 3CX est victime d'une attaque supply chain qui expose des millions d'ordinateurs sur lesquels l'application est installée. En effet, 3CX c'est 600 000 clients pour 12 millions d'utilisateurs finaux répartis dans 190 pays. Dans la liste de clients, on trouve de grands noms comme BMW, Honda, Ikea ou encore Pepsi.
L'application de bureau 3CXDesktopApp (softphone) pour Windows et macOS est infectée, et plusieurs fournisseurs de solutions de sécurité comme Sophos, ESET, SentinelOne ou encore CrowdStrike ont émis une alerte à ce sujet. Il s'avère que le binaire légitime de l'application est à l'origine d'une activité malveillante, ce qui a rapidement affolé les solutions de sécurité type EDR.
La souche malveillante intégrée à l'exécutable 3CXDesktopApp.exe est capable de dérober des informations dans les navigateurs (Chrome, Edge, Firefox, Brave) de la machine infectée, notamment des identifiants enregistrés, puisqu'il s'agit d'un malware de type "infostealer". Du côté de 3CX, on évoque une librairie utilisée par l'application et qui serait à l'origine de l'infection : "Le problème semble venir de l’une des librairies intégrées que nous avons compilées dans l’application Electron pour Windows via GIT."
Toutefois, il est important de noter que le vol des données s'effectue en deux étapes : il se passe 7 jours entre l'infection et la communication avec un serveur C2 piloté par les pirates informatiques. Ce qui explique qu'il y a eu de premières constatations ce 29 mars alors que les premières versions compromises sont sorties le 22 mars.
Dans les semaines et mois à venir, cet incident pourrait être lié à d'autres cyberattaques réalisées grâce aux identifiants que les pirates seront parvenus à exfiltrer...
Quelles sont les versions infectées ? Comment se protéger ?
En lisant le bulletin de sécurité de 3CX, on peut en apprendre plus sur les versions infectées : "Nous avons le regret d'informer nos partenaires et nos clients que notre application Windows Electron livrée dans la mise à jour 7, numéros de version 18.12.407 & 18.12.416, comporte un problème de sécurité. Les vendeurs d'antivirus ont signalé l'exécutable 3CXDesktopApp.exe et, dans de nombreux cas, l'ont désinstallé. Les versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416 de l'application Mac d'Electron sont également concernées."
Dans les prochaines heures, une nouvelle application pour Windows devrait être publiée, générée à partir d'un nouveau certificat. Au lieu de l'application Electron, 3CX recommande d'utiliser le client ou l'application PWA. Quoi qu'il en soit, pour repartir sur une base saine, il sera nécessaire de désinstaller et réinstaller la nouvelle version de l'application.
La liste des domaines associés à l’infostealer ici ( merci Sophos) :
https://github.com/sophoslabs/IoCs/blob/master/3CX%20IoCs%202023-03.csv
Histoire d’étanchéifier la couche réseau avant de s’attaquer aux machines, courage à tous!