Nuevo tipo de ataque en cadena accede a códigos fuente

CLM, una empresa mayorista latinoamericano de valor agregado con enfoque en la seguridad de la información, la protección de datos, infraestructura para Datacenters y Cloud, advierte sobre un nuevo tipo de ataque realizado en cadena, con el objetivo de acceder a códigos fuente, crear procesos o actualizar mecanismos, infectando aplicaciones legítimas para distribuir malware.

3CXDesktopApp, una popular aplicación de 3CX utilizada para conferencias de voz y video y categorizada como una plataforma IP PBX (telefonía por Internet y video) ha sido comprometida en los últimos días como parte de un ataque en cadena llamado SmoothOperator, presentado por el grupo APT de Corea del Norte, Laberinto Chollima, asociado con Lázaro.

La información proviene de análisis que realizó SentinelOne, especializada en tecnologías de ciberseguridad basadas en inteligencia artificial que abarcan la prevención, detección, respuesta y caza de ataques, y por Picus Security, pionera en simulación de violación y ataque (BAS – Breach and Attack Simulation). Cabe destacar que ambas soluciones son distribuidas por CLM.

Según el CEO de CLM, Francisco Camargo, los ataques en cadena son amenazas emergentes que tienen como objetivo a los desarrolladores y proveedores de software.

Para tener una idea del alcance de este ataque, 3CX afirma, en su sitio web, que tiene 600.000 empresas clientes, de varios segmentos como automotriz, proveedores de servicios administrados (MSP) de TI, manufactura, etc., con 12 millones de usuarios diariamente.

Según el análisis de Picus, en marzo de 2023, el grupo APT insertó un código malicioso en el código de la aplicación 3CXDesktopApp y los usuarios desprevenidos instalaron las versiones contaminadas mediante descargas directas o actualizaciones.

Si bien estas versiones están firmadas con certificados digitales 3CX, se recomienda a los usuarios que no utilicen estas versiones.