3CX a déclaré travailler sur une mise à jour logicielle pour son application de bureau après que plusieurs fournisseurs de cybersécurité aient tiré la sonnette d’alarme sur ce qui semble être une attaque active de la chaîne d’approvisionnement qui utilise des installateurs signés numériquement et truqués du populaire logiciel de conférence vocale et vidéo pour cibler les clients en aval.
“L’application de bureau 3CX trojanisée est la première étape d’une chaîne d’attaque en plusieurs étapes qui extrait de GitHub des fichiers ICO complétés par des données Base64 et conduit finalement à une DLL infostealer de troisième étape”, ont déclaré les chercheurs de SentinelOne.
La société de cybersécurité suit l’activité sous le nom de SmoothOperator, indiquant que l’acteur de la menace a enregistré une infrastructure d’attaque massive dès février 2022.
3CX, la société à l’origine de 3CXDesktopApp, affirme avoir plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays, dont certains noms bien connus comme American Express, BMW, Honda, Ikea, Pepsi et Toyota, entre autres.
Bien que le client PBX 3CX soit disponible pour plusieurs plateformes, Sophos, citant des données télémétriques, a souligné que les attaques observées jusqu’à présent se limitaient au client Windows Electron du système téléphonique PBX.
La société de cybersécurité CrowdStrike a déclaré qu’elle soupçonnait que l’attaque était liée à un acteur étatique nord-coréen qu’elle suit sous le nom de Labyrinth Chollima, un sous-groupe du tristement célèbre Lazarus Group.