Vírus se esconde em app de voz sobre IP com mais de 12 mi de downloads

Uma versão maliciosa do 3CXDesktop foi localizada por pesquisadores em segurança digital, indicando um possível ataque à cadeira de suprimentos de sua desenvolvedora. A edição perigosa entrega todas as funcionalidades da original, mas acompanha arquivos mal-intencionados que, ao serem executados no sistema, baixam malware a partir de servidores remotos, como se isso fizesse parte do processo normal de instalação.

• Brecha de segurança registra 134 milhões de ataques contra Internet das Coisas
• Indústrias de carros viram alvo de ataques cibernéticos e roubo de dados

O app, cuja versão para computadores conta com mais de 12 milhões de downloads, estaria sendo distribuído globalmente. O relatório da empresa de cibersegurança Check Point Software, ainda que não traga detalhes sobre a disseminação ou o vetor de entrada da exploração, aponta se tratar de um caso clássico de ataque à cadeia de suprimentos, quando criminosos obtém acesso a redes ou sistemas legítimos para inserção de conteúdo malicioso.

“O golpe é projetado para explorar relações de confiança entre uma organização e partes externas, incluindo parcerias com fornecedores ou o uso de um software de terceiros”, explica Lotem Finhkelstein, diretor de inteligência de ameaças e pesquisa da Check Point Software. Segundo ele, não foi possível detectar em que momento as entradas maliciosas foram inseridas na aplicação legítima.

Seja como for, o fato é que, ao ser instalada em um sistema, também se abrem as portas para um malware, que pode ser usado para roubo de dados ou criação de backdoors para novas intrusões, em apenas dois exemplos. Quando falamos de um software corporativo, a espionagem sempre é cogitada, enquanto o risco de vazamento de informações aumenta de forma significativa.

Demora na ação

Quando se considera a lista de clientes da 3CX, que envolve nomes como American Express, McDonald’s, Coca-Cola, BMW, Honda, Mercedes-Benz e AirFrance, além de órgãos do governo do Reino Unido, o caso ganha contormos mais graves. Esses traços se tornaram ainda mais complexos quando os relatos surgiram há cerca de uma semana nos fóruns de suporte da companhia, sem que nenhuma atitude tenha sido tomada de forma imediata.

A fabricante apenas reconheceu o problema nesta quinta-feira (30), confirmando o comprometimento de aplicativos para desktop. Enquanto a empresa avalia o que aconteceu, a recomendação de segurança é pela desinstalação de versões anteriores e aplicação de uma nova, além da realização de varreduras de segurança para detecção de eventuais malwares baixados para o sistema.

Indo além, o CEO da 3CX, Nick Galea, afirmou que o ataque à cadeia de suprimentos não aconteceu devido a uma invasão dos sistemas internos da companhia, algo que vinha sendo cogitado em associação até mesmo a agentes de ameaça ligados a governos rivais. Segundo o executivo, o problema foi localizado em bibliotecas ligadas à aplicação Windows Eletron, baixadas no GitHub e que foram comprometidas por criminosos. Tais elementos já foram removidos de versões atuais da aplicação de voz sobre IP.

Com informações do Bleeping Computer.