Oficjalna aktualizacja popularnego narzędzia 3CX zainfekowana. Alert dla klientów

Oświadczenie o całym incydencie możecie znaleźć tutaj (TLDR: zainfekowano appkę 3CX w wersji na Windowsa oraz Maca):

Early this morning we informed our partners and customers that our electron windows app shipped in Update 7, version numbers 18.12.407 & 18.12.416, included a severe security issue. We since learned that Electron Mac App version numbers 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 have also been affected. Fortunately, anti-virus vendors flagged the executable 3CXDesktopApp.exe and blocked it.

Ostatnie „fortunately” nie jest takie do końca w pełni „fortunately” – tylko część antywirusów oflagowała binarkę jako podejrzaną.

W każdym razie sprawa może być dość poważna (3CX posiada około 600 000 klientów na całym świecie). Zainfekowane binarki zostały poprawnie podpisane przez 3CX, co oznacza najpewniej zhackowanie infrastruktury umożliwiającej publikowanie nowych wersji oprogramowania.

Wg tej analizy, pierwsze przygotowania (fragmenty działającej infrastruktury malware) zostały dostrzeżone już pod koniec 2022 roku (przykładowo część dodatkowych komponentów malware dociągał z adresu: https://github[.]com/IconStorages/images/)

Tutaj zestaw domen, z których mógł być dociągany dodatkowy, złośliwy kod (w przypadku wersji na Maca domeny lekko się różnią):

Analiza całości malware jeszcze trwa – ale wygląda, że złośliwe oprogramowanie to stealer (wykrada dane z systemu operacyjnego / przeglądarek).

W międzyczasie wydano zaktualizowaną wersję aplikacji, która najpewniej nie jest zainfekowana, chociaż producent odradza używanie jakiejkolwiek jej wersji – do czasu aż nie będzie pewności że wszystko już jest „czyste” (dodatkowe rekomendacje postępowania, jeśli korzystaliście z appki 3CX możecie znaleźć tutaj):

In a day or two from now, we will have another Electron App rebuilt from the ground up with a new signed certificate. This is expected to be completely secure. We strongly recommend that you avoid using the Electron App unless there is absolutely no alternative. The Electron App update that we are releasing today is considered to be secure but there is no guarantee given that we only had 24 hours to make the necessary adjustments.

~ms