Araştırmacılar, 3CX masaüstü uygulamasının güvenliğinin ihlal edilebileceğini ve tedarik zinciri saldırılarında kullanılabileceğini keşfettiler.
Araştırmacılar, 3CX masaüstü uygulamasının güvenliğinin ihlal edilebileceğini ve tedarik zinciri saldırılarında kullanılabileceğini keşfettiler.
3CX Masaüstü Uygulaması, Windows, macOS, Linux ve mobil için kullanılabilen İnternet Üzerinden Ses Protokolü (VoIP) tipi bir uygulamadır. Birçok büyük şirket, arama yapmak, meslektaşlarının durumunu görüntülemek, sohbet etmek, web konferansları düzenlemek ve sesli mesaj için dahili olarak kullanır. 3CX, temel olarak bir şirket veya kuruluş içinde kullanılan özel bir telefon ağı olan Özel Santral (PBX) sistemidir.
3CX web sitesi, günlük 12 milyon kullanıcıya sahip 600.000 müşteri şirkete sahiptir ve bu size bir tedarik zinciri saldırısının olası etkisi hakkında bir fikir verebilir.
Keşfedilen saldırı çok karmaşık ve muhtemelen aylardır devam ediyor. Bu durumlarda ilişkilendirme her zaman zor olsa da, bazı parmaklar Kuzey Kore’yi işaret ediyor. Paylaşılan örneklerden birinin 3 Mart 2023’te DigiCert tarafından verilen meşru bir 3CX Ltd sertifikasıyla dijital olarak imzalanmasından bu yana saldırıların devam etmesi muhtemeldir.
Windows Electron istemcilerinin etkilendiği neredeyse kesin olsa da, şu ana kadar diğer platformların etkilendiğine dair bir kanıt yok. 3CX forumlarında, kullanıcılara yalnızca yeni sürümün (3CX Masaüstü Uygulaması) kötü amaçlı yazılım bulaşmasına yol açtığı söyleniyor çünkü Windows için 3CX Phone (eski sürüm) Electron Çerçevesini temel almıyor. Electron, web geliştiricilerinin masaüstü uygulamaları oluşturmasını sağlayan açık kaynaklı bir projedir.
Bir 3CX sözcüsüne göre bu, kullandığı bir yukarı akış kitaplığının virüs bulaşması nedeniyle oldu.
Ana yürütülebilir dosyanın kendisi kötü amaçlı değildir ve bir kurulum prosedürünün veya bir güncellemenin parçası olarak 3CX’in web sitesinden indirilebilir. Ancak 3CXDesktopApp.exe yürütülebilir dosyası, ffmpeg.dll adlı kötü amaçlı bir dinamik bağlantı kitaplığını (DLL) yandan yükler.
Ffmpeg.dll ise d3dcompiler_47.dll’den şifrelenmiş bir yükü ayıklamak ve yürütmek için kullanılır. Kötü amaçlı yazılım daha sonra, aşağıda gösterildiği gibi görüntülerin sonuna eklenen Base64 kodlu dizeleri içeren GitHub’da barındırılan simge dosyalarını indirir.
ICO dosyalarına gömülü Base64 dizeleri (resim, BleepingComputer’ın izniyle)
d3dcompiler_47.dll dosyası, yük eklenmiş olarak yasal sürümün tüm işlevlerine sahiptir. Bu, kullanıcıları yazılımlarında bir sorun olduğu konusunda uyaracağını garanti eder.
Tam yük için araştırma devam ederken, etkilenen sistemlerde bir arka kapı oluşturulduğu açıktır.
Ne yapılması gerekiyor?
Başlangıçta kullanıcı forumlarındaki uyarıları olası bir yanlış pozitif olarak değerlendirdikten sonra, 3CX şimdi bir güncelleme üzerinde çalıştığını bildirdi.
3CX forumlarındaki tavsiye, uygulamayı kaldırmanız ve ardından yeniden yüklemeniz ve bunun yerine PWA istemcisini kurmanız yönünde güçlü bir tavsiyedir.
Malwarebytes, kötü amaçlı DDL’leri Trojan.Agent olarak algılar.
Sizi burada gelişmelerden haberdar edeceğiz, ancak bir kullanıcı olarak yeni gelişmeler hakkında ve bir güncelleme mevcut olduğunda bilgi edinmek için 3CX’in blogunu ve forumlarını takip etmek isteyebilirsiniz.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE