L’attacco supply chain contro il software VoIP di 3CX ha permesso di scaricare un info-stealer sul computer delle vittime. I ricercatori di Kasperksy hanno scoperto che una simile tecnica è stata usata per distribuire la backdoor Gopuram. Il numero di infezioni è aumentato proprio in concomitanza al suddetto attacco.
Gopuram distribuita dal Lazarus Group
Dopo aver effettuare l’analisi di uno dei computer colpiti dall’attacco supply chain, gli esperti di Kaspersky hanno trovato il file guard64.dll
caricato nel processo 3CXDesktopApp.exe
. Questa DLL è stata usata in passato per distribuire la backdoor Gopuram. Gli attacchi erano stati eseguiti dal Lazarus Group contro diverse aziende che operano nel settore delle criptovalute.
Gopuram è composta da vari moduli (DLL), ognuno dei quali esegue una specifica attività, come la connessione al server C2 (command and control), la modifica del registro di sistema, l’iniezione di payload nei processi e il caricamento di driver non firmati con il tool Kernel Driver Utility.
In base ai dati della telemetria, Kaspersky ha rilevato che gli attacchi sono “chirurgici”, quindi le vittime vengono scelte con precisione. Gli attacchi supply chain contro il software di 3CX sono avvenuti in tutto il mondo, ma i paesi più colpiti sono Italia, Francia, Germania e Brasile.
Gli utenti dovrebbero effettuare una scansione completa con un antivirus aggiornato. Inoltre deve essere seguito il consiglio di 3CX: disinstallare la versione per Windows e utilizzare la versione PWA.