החל מתאריך 22 במרץ 2023 החלה חברת SentinelOne לראות עליה חדה בהתנהגות חריגה של 3CXDesktopApp – תוכנה פופולרית לשיחות ועידה קוליות ווידאו. זיהוי ואיתור ההתנהגות החריגה מנעו הפעלת מתקינים טרויאניים של 3CXDesktopApp והובילו להסגר מיידי של התוכנה. 3CXDesktopApp היא תוכנת ניתוב שיחות ארגונית לשיחות ועידה קולית ווידאו פרטית אוטומטית (PABX) שפותחה על ידי 3CX – חברת תוכנות תקשורת עסקית. באתר החברה נטען כי ל- 3CX יש 600,000 לקוחות עם 12 מיליון משתמשים יומיים. 3CX כוללת לקוחות במגזרים הבאים: רכב, מזון ומשקאות, אירוח, ספקי שירותי טכנולוגיית מידע מנוהלת (MSP) ויצור. התוכנה זמינה עבור Windows, macOS ו- Linux. כמו כן קיימות גם גרסאות ניידות עבור אנדרואיד ו- iOS וכן, הרחבת Chrome וגרסה מבוססת דפדפן של יישום אינטרנט פרוגרסיבי (PWA).
תוכנות תקשורת מהוות יעד אטרקטיבי למתקפות שרשרת אספקה: בנוסף לניטור התקשורת של ארגון, יכולים האקרים לשנות ניתוב שיחות או חיבורי תיווך לשירותי קול מחוץ לארגון. היו מקרים בהם השתמשו האקרים בתוכנת מרכזיה ו- VOIP כדי לפרוס מטעני נוזקות נוספים.
כאשר ניתחו SentinelOne באופן פעיל את המתקין הזדוני, נצפתה שרשרת תקיפה מרובת שלבים. אפליקציית 3CXDesktopApp משמשת כמטעין קוד מעטפת עם קוד מעטפת המופעל מ- heap space. קוד המעטפת טוען DLL באופן רפלקטיבי ומסיר את ה-"MZ" בהתחלה. ה- DLL הזה נקרא בתורו באמצעות ייצוא בשם 'DllGetClassObject'. שלב זה יוריד בתורו קבצי אייקונים ממאגר Github ייעודי: לקבצי ICO אלה מצורפים נתוני Base64. הנתונים הללו מפוענחים ומשמשים להורדת שלב נוסף. בשלב זה, נראה שה- DLL הינו גנב מידע שלא נצפה בעבר ונועד להתממשק עם נתוני דפדפן, ככל הנראה בניסיון לאפשר פעולות עתידיות כאשר מסננים ההאקרים את המוני הלקוחות הנגועים. SentinelOne שלחו בקשת הסרה עבור מאגר זה. השלב האחרון מיישם פונקציונליות של גניבת מידע, כולל איסוף מידע מערכת ומידע דפדפן מדפדפני Chrome, Edge, Brave ו- Firefox. המידע כולל שאילתות היסטוריית גלישה ונתונים מטבלת המקומות עבור דפדפנים מבוססי Firefox וטבלת ההיסטוריה עבור דפדפנים מבוססי Chrome.
החקירה של SentinelOne באשר להאקרים שמאחורי מתקפת שרשרת האספקה הזו עדיין נמשכת.