![\"\"](\"https:\/\/abes.org.br\/wp-content\/uploads\/2023\/04\/clm-PABX-300x162.jpg\")
<\/p>\n<\/p>\n
Grupo norte-coreano de hackers orquestrou um ataque em cadeia que permitiu monitorar as comunica\u00e7\u00f5es dos clientes corporativos por meio da plataforma de PABX Virtual 3CX, modificar o roteamento de chamadas ou intermediar conex\u00f5es em servi\u00e7os de voz externos<\/em><\/p>\n CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, cloud e infraestrutura para data centers,\u00a0alerta para um novo tipo de ataque, feito em cadeia<\/strong>, com o objetivo de acessar c\u00f3digos-fonte, criar processos ou atualizar mecanismos, infectando aplicativos leg\u00edtimos para distribuir malware. O 3CXDesktopApp, um conhecido aplicativo da 3CX, usado para confer\u00eancias de voz e v\u00eddeo e categorizado como plataforma PABX IP (telefonia e v\u00eddeo pela internet) foi comprometido, nos \u00faltimos dias, como parte de um ataque em cadeia, chamado de “SmoothOperator”, impetrado pelo grupo APT norte-coreano, o Labyrinth Chollima, associado ao Lazarus.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n A informa\u00e7\u00e3o vem de an\u00e1lises feitas pela\u00a0SentinelOne,<\/strong>\u00a0especializada em tecnologias de ciberseguran\u00e7a baseada em intelig\u00eancia artificial que abrange desde a preven\u00e7\u00e3o, a detec\u00e7\u00e3o, a resposta e a ca\u00e7a aos ataques, e pela\u00a0Picus Security<\/strong>, pioneira em simula\u00e7\u00e3o de viola\u00e7\u00e3o e ataque (BAS – Breach and Attack Simulation). Ambas as solu\u00e7\u00f5es s\u00e3o distribu\u00eddas pela CLM.<\/p>\n Para se ter uma ideia da extens\u00e3o deste ataque, a 3CX afirma, em seu site, que possui 600 mil empresas clientes, de diversos segmentos como automotivo, provedores de servi\u00e7os gerenciados de TI (MSPs), manufatura etc., com 12 milh\u00f5es de usu\u00e1rios di\u00e1rios.<\/p>\n Segundo an\u00e1lises da Picus, em mar\u00e7o de 2023, o grupo APT inseriu um c\u00f3digo malicioso no c\u00f3digo do aplicativo 3CXDesktopApp e usu\u00e1rios desavisados instalaram as vers\u00f5es contaminadas por meio de downloads ou atualiza\u00e7\u00f5es diretas.<\/p>\n DETALHES DOS ATAQUES EM CADEIA<\/strong><\/p>\n A SentinelOne explica que, no caso do 3CXDesktopApp, o aplicativo foi trojanizado, sendo este o primeiro est\u00e1gio de uma cadeia de ataque de v\u00e1rios est\u00e1gios, quando foram extra\u00eddos arquivos ICO anexados com dados base64 do Github que, depois, levaram a um DLL de infostealer.<\/p>\n \u201c\u00c0 medida que analisamos ativamente o instalador malicioso, vemos uma interessante cadeia de ataque em v\u00e1rios est\u00e1gios se desenrolando. O aplicativo 3CXDesktopApp serve como um carregador de shellcode com shellcode executado a partir do espa\u00e7o heap. O shellcode carrega reflexivamente uma DLL, removendo o \u201cMZ\u201d no in\u00edcio. Essa DLL, por sua vez, \u00e9 chamada, por meio de uma exporta\u00e7\u00e3o nomeada ‘DllGetClassObject’, com os seguintes argumentos:<\/p>\n 1200 2400 “Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) 3CXDesktopApp\/18.11.1197 Chrome\/102.0.5005.167 Electron\/19.1.9 Safari\/537.36\u201d<\/p>\n Bem como o tamanho desta cadeia User-Agen\u201d, informa o relat\u00f3rio da SentinelOne.<\/p>\n Segundo an\u00e1lises da Picus as vers\u00f5es afetadas das vers\u00f5es 3CXDesktopApp s\u00e3o:<\/p>\n Embora essas vers\u00f5es sejam assinadas por meio de certificados digitais da 3CX, os usu\u00e1rios s\u00e3o aconselhados a n\u00e3o usar essas vers\u00f5es.<\/p>\n Neste primeiro est\u00e1gio, o trojan baixou arquivos de \u00edcones de um reposit\u00f3rio Github dedicado:<\/p>\n https:\/\/github[.]com\/IconStorages\/images<\/em><\/p>\n Ap\u00f3s a instala\u00e7\u00e3o, as vers\u00f5es comprometidas do 3CXDesktopApp entram em contato com os servidores C2 de controle dos atacantes e instalam um malware ladr\u00e3o de informa\u00e7\u00f5es chamado ICONICSTEALER. Este malware \u00e9 usado para roubar dados confidenciais de sistemas comprometidos.<\/p>\n Esses arquivos ICO, de imagem, t\u00eam codificado junto dados Base64, anexados no final, que s\u00e3o decodificados pelos atacantes e usados para baixar outro est\u00e1gio do ataque. O arquivo DLL parece ser um infostealer desconhecido, destinado a interagir com os dados do navegador, provavelmente em uma tentativa de permitir opera\u00e7\u00f5es futuras \u00e0 medida que os invasores vasculham a massa de clientes infectados.<\/p>\n O est\u00e1gio final (cad1120d91b812acafef7175f949dd1b09c6c21a) implementa a funcionalidade infostealer, incluindo a coleta de informa\u00e7\u00f5es do sistema e dos navegadores Chrome, Edge, Brave e Firefox. Isso inclui consultar o hist\u00f3rico de navega\u00e7\u00e3o e os dados locais em navegadores baseados no Firefox e o hist\u00f3rico para navegadores baseados no Chrome.<\/p>\n Cadeias do Infostealer usadas para consultar lista de hist\u00f3rico e lugares<\/u><\/u><\/p>\n \u00a0<\/u><\/u>O 3CX PABX cliente est\u00e1 dispon\u00edvel para Windows, macOS e Linux; tamb\u00e9m h\u00e1 vers\u00f5es m\u00f3veis para Android e iOS, bem como uma extens\u00e3o do Chrome e uma vers\u00e3o de cliente baseada em navegador Progressive Web App (PWA). A Picus informa que tanto as vers\u00f5es Windows e macOS do 3CXDesktopApp foram afetadas.<\/p>\n","protected":false},"excerpt":{"rendered":" Grupo norte-coreano de hackers orquestrou um ataque em cadeia que permitiu monitorar as comunica\u00e7\u00f5es dos clientes corporativos por meio da plataforma de PABX Virtual 3CX, modificar o roteamento de chamadas ou intermediar conex\u00f5es em servi\u00e7os de voz externos CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, cloud e […]<\/p>\n","protected":false},"author":10,"featured_media":60596,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[39,19],"tags":[49,2348,3903,91,145],"class_list":["post-60594","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-coluna-4","category-ultimas-noticias","tag-cloud","tag-hackers","tag-nfraestrutura-para-data-centers","tag-protecao-de-dados","tag-seguranca-da-informacao"],"acf":[],"yoast_head":"\n![\"\"](\"https:\/\/abes.org.br\/wp-content\/uploads\/2023\/04\/Francisco-CLM-241x300.jpg\")
De acordo com o CEO da CLM, Francisco Camargo, os ataques em cadeia s\u00e3o amea\u00e7as emergentes que t\u00eam como alvo desenvolvedores e fornecedores de software. \u201cNo caso dos\u00a0ataques em cadeia<\/strong>, os atacantes\u00a0trojanizam<\/em> um aplicativo, ou seja, instalam um parasita, um malware, que vai ser distribu\u00eddo dentro do aplicativo, para milhares de clientes e que criam uma porta de acesso (backdoor) para que outros softwares maliciosos possam us\u00e1-la para invadir o sistema\u201d, explica o executivo.<\/p>\n\n
![\"\"](\"https:\/\/abes.org.br\/wp-content\/uploads\/2023\/04\/GRAFCO-CLM-300x243.jpg\")
<\/p>\n