Додаток 3CXDesktop з «легальним» трояном! Але клієнт Check Point може залишатися захищеним

3CXDesktop App — це десктоп клієнт системи 3CX Voice over IP (VoIP). Додаток дозволяє спілкуватися всередині та за межами організації за допомогою настільних ПК та/або ноутбуків. Серед їхніх клієнтів є як державні підприємства так і великі підприємства ентерпрайз рівня.

Що сталося?

За останні кілька днів є докази того, що «троянська версія» оригінального клієнта 3CXDesktop App завантажується до нічого не підозрюючих клієнтів по всьому світу. Ця версія містить шкідливий файл DLL, який заміняє справжній файл з оригінального пакету програми. Потім, після старту, програма 3CXDesktop виконує шкідливу DLL як частину попередньо визначеної процедури. Це перетворює невинну популярну VoIP програму на повномасштабного шкідника, який передає дані на сервери зловмисників та здатний запускати зловмисне програмне забезпечення.

Класична атака.

Це класична атака на ланцюг постачання. Правду кажучи, на даний момент немає доказів будь-якого втручання у вихідний код програми 3CXDesktop. Але проблема полягає в тому, що додаток продовжує нормально працювати не зважаючи на шкідливий імплант. Такі атаки призначені для використання довірчих відносин між організацією та зовнішніми постачальниками. Суб’єкти кіберзагроз спочатку скомпрометують одну організацію, а потім піднімуться по ланцюжку далі.

Як клієнт Check Point може залишатися захищеним?

Платформа Horizon XDR/XPR негайно блокує кіберзагрози, що виникають у будь-якій частині підконтрольного їй середовища, і запобігає їхньому впливу на організацію та поширенню між іншими об’єктами. XDR/XPR представляє останню лінію кіберзахисту; додатковий рівень безпеки. Horizon XDR/XPR запобігає складним атакам, коли, здавалося б, нешкідливі події в різних частинах системи безпеки створюють критичну загрозу для вашої організації. Платформа може автоматично зупиняти розповсюдження загроз у вашій організації і на додаток, може провести криміналістичний аналіз, як додаткова перевірка для SecOps користувача.

16.05.2023