Verschiedene Medien berichten von einem groß angelegten Supply-Chain-Angriff, der auf die Nutzer von 3CX VoIP-Telefoniesystemen abzielt. Unbekannte Angreifer haben es geschafft, 3CX-VoIP-Anwendungen sowohl für Windows als auch für macOS zu infizieren. Die Cyberkriminellen greifen deren Nutzer nun über eine mit einem geltenden 3CX-Zertifikat signierte Anwendung an. Und die Liste dieser Nutzer hat es in sich: Sie umfasst mehr als 600.000 Unternehmen, darunter bekannte Marken aus der ganzen Welt (American Express, BMW, Air France, Toyota, IKEA). Eine Reihe von Forschern hat diesen bösartigen Angriff SmoothOperator genannt.
Die Trojaner sind offenbar in allen Versionen der Software versteckt, die nach dem 3. März veröffentlicht wurden, d. h. in den Builds 18.12.407 und 18.12.416 für Windows und 18.11.1213 und neuer für macOS. Nach Angaben von Vertretern von 3CX gelangte der Schadcode durch eine nicht benannte trojanisierte Open-Source-Komponente, die vom Entwicklerteam genutzt wurde, in das Programm.
Angriff über trojanisierte 3CX-Software
Mit Verweis auf Forscher verschiedener Unternehmen beschreibt BleepingComputer den Angriffsmechanismus über einen trojanisierten Windows-Client wie folgt:
- Der Benutzer lädt entweder ein Installationspaket von der offiziellen Website des Unternehmens herunter und führt es aus, oder aber er erhält ein Update für ein bereits installiertes Programm;
- Nach der Installation erstellt das trojanisierte Programm mehrere schädliche Bibliotheken, die für die nächste Angriffsphase eingesetzt werden;
- Die Malware lädt dann .ico-Dateien herunter, die auf GitHub gehostet werden und zusätzliche Datenleitungen enthalten;
- Diese werden dann zum Download der eigentlichen schädlichen Nutzlast verwendet, die dann zum Angriff auf die Endbenutzer dient.
Der Mechanismus für den Angriff auf macOS-Benutzer ist etwas anders. Eine detaillierte Beschreibung finden Sie auf der Website der gemeinnützigen Stiftung Objective-See.
Worauf sind die Angreifer aus?
Die heruntergeladene Malware kann Informationen über das System sammeln sowie Daten und Anmeldeinformationen aus den Benutzerprofilen von Chrome, Edge, Brave und Firefox-Browsern stehlen und speichern. Außerdem ist es den Angreifern möglich, eine interaktive Befehlsshell einzurichten, mit der sie theoretisch fast alles mit dem Computer des Opfers anstellen können.
Warum ist dieser Angriff so gefährlich?
Die trojanisierte Programmversion ist mit einem legitimen Zertifikat von 3CX Ltd. signiert, das von Sectigo ausgestellt wurde – demselben Zertifikat, das in früheren Versionen des 3CX-Programms verwendet wurde.
Nach Angaben von Objective-See ist die macOS-Version der Malware darüber hinaus nicht nur mit einem gültigen Zertifikat signiert, sondern auch von Apple zertifiziert! Das bedeutet, dass die Anwendung auf aktuellen Versionen von macOS ausgeführt werden darf.
So können Sie sich schützen
Die Anwendungsentwickler empfehlen dringend, trojanisierte Versionen des Programms über den VoIP-Webclient zu deinstallieren, bis ein entsprechendes Update veröffentlicht wird.
Des Weiteren ist es sinnvoll, eine gründliche Vorfallsuntersuchung durchzuführen, um sicherzustellen, dass die Angreifer keine Zeit hatten, die Computer Ihres Unternehmens zu manipulieren. Zur Kontrolle des Geschehens im Unternehmensnetzwerk und zur rechtzeitigen Erkennung schädlicher Aktivitäten empfehlen wir grundsätzlich den Einsatz von Diensten der MDR-Klasse (Managed Detection and Response).