El 29 de marzo de 2023, Jamf Threat Labs, junto con otros proveedores, observó un ataque selectivo denominado Smoothoperator contra 3CX Desktop App, una aplicación de softphone de 3CX utilizada por millones de usuarios en todo el mundo. Los actores de la amenaza del estado-nación escogieron como objetivo a 3CX en un ataque a la cadena de suministro que comprometió varias compilaciones de su aplicación.
En macOS, estas compilaciones contenían una dylib maliciosa llamada libffmpeg.dylib que se carga dinámicamente en tiempo de ejecución, realizando una serie de operaciones en los sistemas de las víctimas. Los Jamf Threat Labs tomaron medidas inmediatas contra esta amenaza, bloqueando la ejecución de las aplicaciones comprometidas (y las conexiones a dominios de mala reputación asociados al ataque) para salvaguardar a nuestros clientes.
El ataque a la cadena de suministro de 3CX es una grave amenaza para la seguridad macOS debido a lo diseminado que está y a su nivel de sofisticación. Dada la naturaleza de este ataque a la cadena de suministro, las compilaciones infectadas se implementaron mediante procedimientos de actualización típicos e impulsaron la confianza ya establecida por la aplicación original aprobada. En el momento de nuestro análisis inicial, la app para escritorio 3CX comprometida estaba firmada por 3CX y notarizada por Apple con el teamid 33CF4654HL. Esto permite su ejecución en el sistema operativo. Desde entonces, Apple ha revocado el código notarizado.
La dylib maliciosa libffmpeg.dylib contiene varias técnicas antianálisis, que incluyen cadenas tipo XOR para dificultar el análisis estático. Algunas de esas cadenas tipo XOR mostradas en la sección de indicadores de compromiso (IoC) se utilizan para crear varios archivos en la ruta ~/Library/Application Support/3CX Desktop App/. Las cadenas tipo XOR incluyen nombres de dominio que también están incrustados en la dylib maliciosa.
El malware recopila información del host de la víctima, incluida la versión del sistema operativo y el nombre de la computadora, que luego se escribe en un archivo cifrado llamado .main_storage. Finalmente, se conecta a los sistemas de control y mando (C2) del atacante para solicitar una carga útil de segunda fase —denominada UpdateAgent— ubicada en el mismo directorio de soporte de la aplicación. Para un análisis técnico en profundidad del malware Smoothoperator, consulte el blog de Patrick Wardle.
Jamf protege contra las versiones comprometidas conocidas de la aplicación 3CX, así como contra el componente de segunda fase del malware atacante. Los clientes pueden monitorear su entorno en busca de reglas de prevención de amenazas detectadas como C3x, Smoothoperator o smoothoperator_a.
Actualizaremos esta entrada del blog a medida que encontremos más detalles sobre esta amenaza emergente.
Las amenazas emergentes no son nada nuevo para Jamf Threat Labs.
Esto significa que los clientes de Jamf Protect pueden estar seguros de que sus endpoints están protegidos contra nuevas amenazas y ataques.
Suscribirse al Blog de Jamf
Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.
Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.