Een select aantal organisaties en bedrijven dat de besmette voip-software van leverancier 3CX installeerde is vervolgens met een backdoor besmet, waarbij de aanvallers een interesse in cryptobedrijven lijken te hebben. Dat laat antivirusbedrijf Kaspersky vandaag in een analyse weten.

3CX levert allerlei oplossingen voor zakelijke communicatie die volgens het bedrijf door meer dan twaalf miljoen mensen worden gebruikt. Het gaat mede om een desktopapplicatie waarmee het onder andere mogelijk is om via de computer te bellen of voicemailberichten te beluisteren. Aanvallers wisten in de macOS- en Windowsversie van deze software malware te verbergen.

Eenmaal geïnstalleerd verzamelt de malware informatie over het systeem en browsergeschiedenis en stuurt die naar een server van de aanvallers. Bij een zeer select aantal slachtoffers werd vervolgens de Gopuram-backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem krijgen, zo stelt Kaspersky. De virusbestrijder detecteerde op basis van de eigen telemetriegegevens afkomstig van klanten minder dan tien besmettingen wereldwijd.

"We denken dat Gopuram de primaire malware en uiteindelijke payload in de aanvalsketen is", aldus onderzoeker Georgy Kucherin. Deze backdoor is eerder ingezet tegen cryptobedrijven en volgens Kucherin hebben de aanvallers achter de 3CX-aanval een specifieke interesse in cryptobedrijven. Details over de aanval afkomstig van 3CX zelf zijn schaars. Het bedrijf heeft aangegeven met meer informatie te komen zodra dit bekend is.