İş telefonu satıcısı 3CX, tedarik zinciri saldırısı olarak adlandırdığı olayı takiben yazılım telefonu kullanıcılarını yazılımı kaldırmaları ve eşdeğer web uygulamasına geçmeleri konusunda uyarıyor.
CEO Nick Galea, kötü amaçlı yazılımın “7. güncellemeyi çalıştıran müşteriler için Windows Electron istemcisini etkilediğini” bildirdi.
“Bize bildirildi [last] Bu gece ve önümüzdeki saatlerde yayınlayacağımız DesktopApp güncellemesi üzerinde çalışıyoruz” diye yazdı.
“Bunun yerine PWA istemcimizi kullanmanızı şiddetle tavsiye ediyoruz. İstemci uygulamasının gerçekten yüzde 99’unu yapıyor ve tamamen web tabanlı ve bu tür şeyler asla olamaz.”
Galea ayrıca, Windows Defender kullanıcılarının uygulamanın kaldırıldığını zaten fark etmiş olacaklarını da söyledi.
Kötü amaçlı yazılım, SentinelOne ve CrowdStrike tarafından bağımsız olarak keşfedildi.
SentinelOne, 3CX yazılımından kaynaklanan kötü amaçlı etkinliği ilk olarak 22 Mart’ta fark ettiğini söyledi.
SentinelOne, “Truva atına dönüştürülen 3CXDesktopApp, GitHub’dan base64 verileriyle eklenen ICO dosyalarını çeken ve sonuçta üçüncü aşama bilgi hırsızı DLL’sinin yazı yazıldığı sırada hala analiz edilmesine yol açan çok aşamalı bir saldırı zincirinin ilk aşamasıdır” dedi.
CrowdStrike, 29 Mart’ta benzer bir davranış gözlemlediğini söyledi.
CrowdStrike, kötü amaçlı etkinliğin “meşru, imzalı bir ikili dosya olan 3CXDesktopApp”tan kaynaklandığını söyledi.
Faaliyet, “aktör kontrollü altyapıya işaret vermeyi, ikinci aşama yüklerin konuşlandırılmasını ve az sayıda vakada uygulamalı klavye etkinliğini içerir” dedi.
Şirket, “CrowdStrike Intelligence, tehdit aktörü LABYRINTH CHOLLIMA’nın ulus devlet müdahalesinden şüphelenildiğini değerlendirdi” dedi.
3CX, web sitesinde 600.000 ticari müşterisi ve günlük 12 milyon kullanıcısı olduğunu iddia ediyor.