Check Point Software identifica um cavalo de Troia que se passa pelo aplicativo 3CXDesktop VoIP
30 de março de 2023Os pesquisadores da Check Point detectaram um cavalo de Troia que faz parte do primeiro estágio de ataque de cadeia para roubo de informações
Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, alertam que uma versão ‘trojanizada’ do 3CXDesktopApp, o cliente de desktop para o sistema de Voz sobre IP (VoIP) da 3CX (a ferramenta de comunicação 3CX Desktop App conta com 12 milhões de usuários no mundo), está sendo baixada para os computadores de seus clientes globalmente.
Segundo os pesquisadores, esta versão inclui um arquivo malicioso de biblioteca dinâmica (DLL) que substitui parte do programa original.
Assim, quando o aplicativo 3CXDesktopApp é carregado, esse cavalo de Troia executa a DLL maliciosa como parte de seu procedimento de instalação.
Ou seja, essa violação faz com que uma versão “trojanizada” do aplicativo seja baixada na máquina da vítima, transformando o aplicativo VoIP em um malware completo que sinaliza para servidores remotos e pode executar malware de segundo estágio.
Lotem Finkelstein, diretor de Inteligência de Ameaças & Pesquisa da Check Point Software explica que este é um ataque clássico da cadeia de suprimentos, projetado para explorar relações de confiança entre uma organização e partes externas, incluindo parcerias com fornecedores ou o uso de um software de terceiros do qual a maioria das empresas depende de alguma forma.
“Este incidente é um lembrete do quão crítico é que façamos nossa devida diligência em termos de processo de apuração com quem conduzimos negócios. Simplesmente fazer a pergunta ‘o que você está fazendo para manter sua empresa segura’ pode limitar o risco para sua empresa, pois os atacantes comprometerão uma organização e, em seguida, subirão na cadeia de suprimentos.”
A metodologia usada identifica-se, então, com os clássicos ataques à cadeia de suprimentos, em que não é possível detectar o momento em que essas linhas são escritas no código fonte do 3CXDesktopApp.
Isso porque, para combater soluções sofisticadas de cibersegurança, os cibercriminosos estão desenvolvendo e refinando suas técnicas de ataque, que dependem cada vez menos do uso de malware customizado e passam a utilizar ferramentas sem assinatura.
Para fazer isso, eles usam funcionalidades e ferramentas integradas do sistema operacional, que já estão instaladas nos sistemas de destino, e aproveitam outros programas populares de gerenciamento de TI que são menos propensos a levantar suspeitas quando detectados, bem como programas comerciais de pentesting prontos para uso e ferramentas Red Team.
“Embora este não seja um fenômeno novo, o que antes era raro e exclusivo para atacantes sofisticados, agora se tornou uma técnica amplamente adotada por todos os agentes de ameaças. Olhando para o futuro, é importante priorizarmos uma abordagem de segurança consolidada, abrangente e colaborativa que mantenha nossas redes protegidas contra o cenário cibernético em constante mudança”, recomenda Finkelstein.
Proteção XDR/XPR
Para lidar com esses tipos de ameaças, os fornecedores de segurança investem recursos substanciais na pesquisa e mapeamento de tipos e famílias de malware e sua atribuição a agentes de ameaças específicos e campanhas associadas, ao mesmo tempo em que identificam TTPs (Técnicas, Táticas e Procedimentos) que informam a política de segurança correta e ciclos de segurança.
A tarefa básica das soluções de segurança cibernética é reconhecer ferramentas e comportamentos maliciosos antes que esses agentes externos possam atacar.
Os ataques à cadeia de suprimentos são uma das formas de ataque mais complexas. Os fornecedores de segurança não podem confiar apenas em soluções baseadas em reputação ou em camadas únicas. Eles precisam questionar a atividade vista na rede, endpoints, servidores e conectar os pontos.
“As soluções XDR/XPR foram projetadas para fornecer prevenção abrangente contra ameaças, de modo a bloquear imediatamente as ciberameaças originadas de qualquer lugar no ambiente e evitar que elas afetem a organização, interrompendo automaticamente a propagação nos ambientes afetados, ao mesmo tempo em que fornece análises forenses claras do incidente”, afirma Lotem Finkelstein.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.
Check Point Software lança serviços globais de resiliência cibernética de ponta a ponta
Check Point Software comenta sobre os ataques DDoS do Killnet contra a OTAN nesta semana
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.