Atores maliciosos fizeram backdoor no instalador associado ao software program de gravação de vídeo de tribunal desenvolvido pela Justice AV Options (JAVS) para entregar malware associado a um backdoor conhecido chamado Ferrugem por.
O ataque à cadeia de fornecimento de software program, rastreado como CVE-2024-4978impacta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.
A empresa de segurança cibernética Rapid7 disse que iniciou uma investigação no início deste mês depois de descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três Fs) na pasta de instalação do software program no Home windows, rastreando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250 -1.exe” que foi baixado do web site oficial do JAVS em 5 de março de 2024.
“A análise do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostrou que ele foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe”, disseram os pesquisadores do Rapid7, acrescentando que “observaram scripts PowerShell codificados sendo executados pelo binário fffmpeg.exe.”
Tanto o fffmpeg.exe quanto o instalador foram assinados por um certificado Authenticode emitido para “Vanguard Tech Restricted”, em oposição a “Justice AV Options Inc”, a entidade de assinatura usada para autenticar as versões legítimas do software program.
Após a execução, fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando soquetes do Home windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar instruções adicionais do servidor.
Ele também foi projetado para executar scripts ofuscados do PowerShell que tentam ignorar a Antimalware Scan Interface (AMSI) e desabilitar o Occasion Tracing for Home windows (ETW), após o qual ele executa um comando para baixar uma carga adicional que se disfarça como um instalador do Google Chrome (“chrome_installer .exe”) de um servidor remoto.
Este binário, por sua vez, contém código para descartar scripts Python e outro executável chamado “major.exe” e iniciar este último com o objetivo de coletar credenciais de navegadores da internet. A análise do Rapid7 de “major.exe” encontrou bugs de software program que o impediram de funcionar corretamente.
RustDoor, um malware backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender no início de fevereiro como alvo de dispositivos Apple macOS, imitando uma atualização para o Microsoft Visible Studio como parte de prováveis ataques direcionados usando iscas de oferta de emprego.
Análises subsequentes da empresa sul-coreana de segurança cibernética S2W revelaram uma versão do Home windows com o codinome GateDoor, programada em Golang.
“Foi confirmado que RustDoor e GateDoor são distribuídos sob o disfarce de atualizações normais de programa ou utilitários”, observaram os pesquisadores da S2W Minyeop Choi, Sojun Ryu, Sebin Lee e HuiSeong Yang no ultimate daquele mês. “RustDoor e GateDoor têm endpoints sobrepostos usados na comunicação com o servidor C&C e têm funções semelhantes.”
Há evidências de infraestrutura para conectar a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantou a possibilidade de poderem actuar como colaboradores especializados no fornecimento de infra-estruturas a outros intervenientes.
O uso de um instalador JAVS Viewer trojanizado para distribuir uma versão Home windows do RustDoor também foi sinalizado anteriormente pelo S2W em 2 de abril de 2024, em uma postagem compartilhada no X (antigo Twitter). Atualmente não está claro como o web site do fornecedor foi violado e um instalador malicioso ficou disponível para obtain.
A JAVS, em comunicado fornecido ao fornecedor de segurança cibernética, disse que identificou um “potencial problema de segurança” com o JAVS Viewer versão 8.3.7 e que retirou a versão afetada do web site, redefiniu todas as senhas e conduziu uma auditoria completa de seu sistemas.
“Nenhum código-fonte JAVS, certificados, sistemas ou outras versões de software program foram comprometidos neste incidente”, disse a empresa americana. “O arquivo em questão não foi originado do JAVS ou de qualquer terceiro associado ao JAVS. Recomendamos fortemente que todos os usuários verifiquem se o JAVS assinou digitalmente qualquer software program JAVS que instalarem.”
Os usuários são aconselhados a verificar se há indicadores de comprometimento (IoCs) e, se estiverem infectados, recriar completamente a imagem de todos os endpoints afetados, redefinir as credenciais e atualizar para a versão mais recente do JAVS Viewer.
