Компания 3CX предупреждает о том, что неизвестные злоумышленники смогли встроить вредоносный код в её приложение для VoIP-телефонии. Под угрозой оказались десятки тысяч корпоративных пользователей: инфицирование может происходить при загрузке установочного пакета программы с официального сайта или при доставке обновления для уже имеющегося клиента.
Проблема затрагивает приложение 3CX DesktopApp для персональных компьютеров. Вредоносный код присутствует в сборках 18.12.407 и 18.12.416 для Windows и в версиях 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. «Проблема, по-видимому, связана с одной из библиотек, которую мы интегрируем в Windows Electron App через GIT. Мы всё ещё изучаем этот вопрос», — говорится в уведомлении 3CX.
Источник изображения: pixabay.com
«Лаборатория Касперского» раскрывает схему атаки. После загрузки инсталлятора или получения апдейта в систему жертвы проникает троян, создающий несколько вредоносных библиотек. Далее зловред скачивает с GitHub файлы, в которых спрятаны дополнительные данные. На основе этих инструкций производится скачивание финальной вредоносной нагрузки. Злоумышленники могут собирать сведения о системе, а также воровать информацию из ряда браузеров — Chrome, Edge, Brave и Firefox. Кроме того, киберпреступники могут активировать командную оболочку, которая теоретически даёт почти неограниченную свободу действий.
«Домены, к которым обращалась взломанная библиотека, уже известны. Большинство из них уже отключены. Репозиторий GitHub, в котором они упомянуты, также был закрыт. Сейчас мы работаем над новым приложением для Windows, в котором эта проблема отсутствует. Мы также выпустим новый сертификат для нашего приложения», — сообщает 3CX.
Нужно отметить, что количество установок VoIP-приложения 3CX превышает 600 тыс. по всему миру. Среди многочисленных известных клиентов 3CX присутствуют такие компании, как American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi и Toyota. Ежедневно решениями 3CX пользуются более 12 млн человек. Клиентам рекомендуется воспользоваться PWA-версией приложения вместо Electron-версии. К расследованию уже привлекли компанию Mandiant.
Источники:
