Os invasores que invadiram o aplicativo 3CX VoIP para computadores pessoais começaram a distribuir malware de segundo nível por meio dessa plataforma. De acordo com o recurso Dark Reading, estamos falando do backdoor Gopuram, que é usado principalmente para roubar informações.
Recordamos que o ataque à 3CX ficou conhecido no final de março de 2023. Os invasores conseguiram integrar código malicioso no aplicativo 3CX DesktopApp Electron, e dezenas de milhares de clientes corporativos estavam em risco.
Uma análise realizada por especialistas da Kaspersky Lab sugere que o cibergrupo Lazarus está envolvido na invasão da plataforma 3CX. Ele usa métodos específicos para ataques APT, mas é especializado em crimes cibernéticos financeiros. Ressalta-se que o malware Gopuram utilizado pelos invasores é utilizado principalmente em ataques a empresas relacionadas a criptomoedas. O backdoor contém vários módulos que podem ser usados para roubar dados, baixar malware adicional e iniciar, parar e excluir vários serviços no sistema da vítima.
«A Kaspersky Lab rastreia o Gopuram desde pelo menos 2020, quando o malware foi detectado na infraestrutura de TI de uma empresa de criptomoeda no Sudeste Asiático. O objetivo da distribuição backdoor é a espionagem cibernética. Gopuram é uma carga útil de segundo estágio projetada para espionar organizações-alvo. Os desenvolvedores de aplicativos recomendam remover com urgência as versões trojanizadas do programa 3CX DesktopApp e usar o cliente da web até que a atualização seja lançada.
«Juntamente com a Mandiant, estamos conduzindo uma investigação completa sobre o incidente. Inclui uma verificação de segurança completa do nosso cliente web e PWA. Os engenheiros da Mandiant verificam todo o código-fonte do aplicativo da Web e do aplicativo Electron quanto a possíveis vulnerabilidades”, diz 3CX.