s1062-iconicstealer

# ICONICSTEALER ## Visão Geral **ICONICSTEALER** (também referênciado como "Iconic Stealer") é um infostealer de terceira fase implantado pelo [[g0032-lazarus-group]] (específicamente o subgrupo [[labyrinth-chollima]]) durante o ataque à cadeia de fornecimento da [[_3cx|3CX]] em março de 2023. É identificado como **S1062** no MITRE ATT&CK. O ataque [[3cx-supply-chain-attack]] foi um dos maiores ataques de supply chain da história, comprometendo o software VoIP/comúnicações da 3CX utilizado por mais de 600.000 empresas globalmente. O ICONICSTEALER foi implantado seletivamente em sistemas de interesse após triagem inicial via downloader [[suddenicon]], focando no roubo de dados de navegadores (histórico, credenciais, cookies de sessão). ## Contexto: O Ataque 3CX O ataque à 3CX seguiu uma cadeia de comprometimento dupla de supply chain: 1. **Compromisso inicial**: operadores da 3CX foram comprometidos via software de trading financeiro **X_TRADER** (também trojanizado pelo Lazarus - CVE não atribuído) 2. **Trojanização do 3CX**: os agentes modificaram o instalador legítimo do 3CX Desktop App, inserindo DLLs maliciosas 3. **Distribuição massiva**: o instalador trojanizado foi assinado digitalmente e distribuído via mecanismo oficial de atualização da 3CX 4. **SUDDENICON**: downloader de primeira fase que baixa ícones ICO do GitHub com URLs de C2 embutidas 5. **ICONICSTEALER**: payload final de terceira fase, implantado seletivamente em alvos de interesse A vulnerabilidade associada ao componente malicioso é rastreada como **CVE-2023-29059**. ## Características Técnicas ### Mecanismo de Roubo de Dados ICONICSTEALER é um infostealer focado em dados de navegadores web: - **Browsers alvo**: Chrome, Edge, Firefox, Opera, Brave - **Dados coletados**: - Histórico de navegação (URLs visitadas) - Cookies de sessão (potencialmente para ATO - Account Takeover) - Dados de login salvos (credenciais de autofill) - Dados de extensões de browsers - **Mecanismo**: acesso direto a arquivos SQLite3 dos browsers (`History`, `Cookies`, `Login Data`) - **Exfiltração**: dados enviados diretamente para C2 via HTTP POST ([[t1041-exfiltration-over-c2|T1041]]) ### Seletividade de Implantação O SUDDENICON (downloader de 1a fase) realizava triagem das vítimas: apenas sistemas de interesse estratégico recebiam o ICONICSTEALER completo. Isso indica operação de espionagem direcionada, não coleta massiva indiscriminada. ### Indicadores de Implantação Seletiva | Critério de Interesse | Justificativa | |----------------------|--------------| | Setor de tecnologia / software | Potencial para novos supply chain attacks | | Setor financeiro / cripto | Roubo de credenciais de exchanges e carteiras | | Defesa e governos aliados dos EUA | Espionagem geopolítica norte-coreana | | Organizações com acesso a infraestrutura crítica | Preparação para ataques futuros | ## Diagrama da Cadeia de Supply Chain ```mermaid graph TB A["X_TRADER Software Comprometido por Lazarus"] --> B["Funcionarios 3CX Comprometidos via X_TRADER"] B --> C["3CX Desktop App Instalador Trojanizado"] C --> D["Distribuição Oficial Assinado Digitalmente"] D --> E["600k Empresas Instalaram Versao Maliciosa"] E --> F["SUDDENICON Downloader 1a fase via ICO"] F --> G["Triagem de Vitimas Selecao por Interesse"] G --> H["ICONICSTEALER 3a fase - Browser Data"] H --> I["Exfiltração C2 Credenciais e Cookies"] ``` ## Diagrama de Coleta de Dados ```mermaid graph TB A["ICONICSTEALER Implantado no sistema"] --> B["Localização Perfis Browser - APPDATA"] B --> C["Chrome Login Data SQLite3 - credenciais"] B --> D["Chrome Cookies SQLite3 - sessoes"] B --> E["Chrome History SQLite3 - URLs"] C --> F["Exfiltração HTTP POST Dados comprimidos"] D --> F E --> F F --> G["C2 Lazarus Servidores comprometidos"] ``` ## Relevância para LATAM e Brasil > [!latam] Relevância para o Brasil > A plataforma **3CX** tem adoção significativa no mercado brasileiro de comúnicações empresariais. Empresas que usavam as versões comprometidas (v18.12.407 e v18.12.416) foram expostas ao **ICONICSTEALER** via atualização oficial. Credenciais roubadas de funcionários de **bancos e fintechs** que usavam o 3CX representam risco direto. O **Lazarus Group** tem histórico documentado de alvos financeiros em LATAM, especialmente bancos, reforçando o risco para o setor financeiro brasileiro. - **3CX usada no Brasil**: a plataforma 3CX tem adoção significativa no mercado brasileiro de comúnicações empresariais; empresas que usavam a versão comprometida (v18.12.407 e v18.12.416) foram expostas ao ICONICSTEALER - **Setor financeiro**: credenciais roubadas de funcionários de bancos e fintechs que usavam 3CX representam risco direto - **Supply chain awareness**: o caso reforça a necessidade de monitoramento de supply chain no Brasil, tema ainda subdesenvolvido - **Lazarus ativo na região**: o [[g0032-lazarus-group]] tem histórico de alvos financeiros em LATAM, especialmente bancos ## Detecção e Mitigação ### Verificação de Exposição Versões comprometidas do 3CX Desktop App: - Windows: `18.12.407` e `18.12.416` - macOS: `18.11.1213`, `18.12.402`, `18.12.407`, `18.12.416` **Arquivos maliciosos:** - `ffmpeg.dll` (Windows) - DLL maliciosa - `d3dcompiler_47.dll` (Windows) - DLL maliciosa - `libffmpeg.dylib` (macOS) - biblioteca maliciosa ### Mitigações Recomendadas Implementar [[m1051-update-software|M1051]] com gestão rigorosa de versões de software de terceiros. Aplicar [[m1013-application-developer-guidance|M1013]] via revisão de integridade de software em supply chain. Usar [[m1045-code-signing|M1045]] com verificação da cadeia de certificados. Monitorar via [[ds0022-file-monitoring|DS0022]] para acesso a arquivos SQLite3 de browsers por processos não-browser. Implementar [[m1030-network-segmentation|M1030]] para limitar comúnicações de estações de trabalho. ## Referências - [1](https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise) Mandiant - 3CX Software Supply Chain Compromise (2023) - [2](https://attack.mitre.org/software/S1062/) MITRE ATT&CK - ICONICSTEALER S1062 - [3](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/) SentinelOne - SmoothOperator: 3CX Supply Chain Attack (2023) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-099a) CISA - Compromise of 3CX Desktop App Advisory (2023) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.iconicstealer) Malpedia - ICONICSTEALER Entry (2023)