Les clients 3CX sont victimes d’une attaque de la chaîne d’approvisionnement

Plusieurs médias ont signalé une attaque massive de la chaîne d’approvisionnement qui cible les utilisateurs du système de téléphonie VoIP 3CX. Des cybercriminels anonymes ont réussi à infecter les applications de VoIP 3CX pour Windows et macOS. Désormais, ils attaquent les utilisateurs à travers une application transformée en arme et signée avec un certificat 3CX valide. La liste des utilisateurs concernés est assez conséquente puisqu’il s’agit de plus de 600 000 entreprises, dont certaines célèbres dans le monde entier (American Express, BMW, Air France, Toyota ou encore IKEA). Certains chercheurs ont nommé cette attaque malveillante SmoothOperator.

Il semblerait qu’un cheval de Troie se cache dans toutes les versions du programme publiées après le mars 3. Cela concerne donc les versions 18.12.407 et 18.12.416 de Windows et les versions 18.11.1213 et ultérieures de macOS. Selon les représentants de 3CX, le code malveillant a pu pénétrer dans le programme à cause d’un composant open source anonyme, qui contenait un cheval de Troie, utilisé par l’équipe de développement.

Une attaque via un programme 3CX avec un cheval de Troie

BleepingComputer mentionne les chercheurs de diverses entreprises et décrit le mécanisme d’attaque qui se sert d’un client Windows infecté par un cheval de Troie de la façon suivante :

• L’utilisateur télécharge un pack d’installation depuis le site officiel de l’entreprise et l’exécute, ou reçoit une mise à jour pour un programme déjà installé ;
• Une fois installé, le programme infecté par un cheval de Troie crée plusieurs bibliothèques malveillantes utilisées lors de la prochaine étape de l’attaque ;
• Le programme malveillant télécharge les fichiers .ico hébergés sur GitHub et ajoute des lignes de données ;
• Ces lignes sont utilisées pour télécharger la charge malveillante finale, c’est-à-dire celle qui permet d’attaquer l’utilisateur final.

Le mécanisme d’attaque pour les utilisateurs macOS est quelque peu différent. Vous trouverez une description détaillée sur le site de la fondation caritative Objective-See.

Quel est l’objectif des cybercriminels ?

Le programme malveillant téléchargé peut récupérer des informations à propos du système, voler des données et sauvegarder les identifiants des profils de l’utilisateur enregistrés dans les navigateurs Chrome, Edge, Brave et Firefox. De plus, les cybercriminels peuvent déployer un interpréteur de commandes interactif qui, en théorie, leur permet de faire presque tout ce qu’ils veulent sur l’ordinateur de la victime.

Pourquoi cette attaque est particulièrement dangereuse ?

La version du programme qui contient un cheval de Troie est signée avec un certificat 3CX Ltd. légitime émis par Sectigo ; les versions antérieures du programme 3CX utilisent le même certificat.

De plus, selon Objective-See, la version macOS du programme est signée avec un certificat valide mais aussi certifiée conforme par Apple ! Cela signifie que l’application peut s’exécuter sur les versions récentes de macOS.

Comment vous protéger ?

Les développeurs de l’application conseillent de désinstaller de toute urgence les versions du programme qui contiennent un cheval de Troie et de se servir de la version Web de VoIP jusqu’à ce qu’une mise à jour soit disponible.

Il serait également judicieux d’effectuer une analyse minutieuse de l’incident afin de vous assurer que les cybercriminels n’ont pas eu le temps de prendre le contrôle des ordinateurs de votre entreprise. De façon générale, nous vous conseillons d’utiliser des services de type Managed Detection and Response (MDR) pour contrôler ce qui se passe sur le réseau de votre entreprise et pour détecter rapidement toute activité malveillante.