Você está visualizando atualmente JAVS Gravador de Audiência de Tribunal Com Backdoor – Implanta Malware RustDoor

JAVS Gravador de Audiência de Tribunal Com Backdoor – Implanta Malware RustDoor

Atacantes maliciosos inseriram um backdoor no instalador associado ao software de gravação de vídeo em tribunal desenvolvido pela Justice AV Solutions (JAVS) para entregar malware ligado a um implante conhecido como RustDoor.

O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8.7), afeta o JAVS Viewer v8.3.7, um componente da JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos em tribunal, reuniões de negócios e sessões do conselho municipal.

A empresa de cibersegurança Rapid7 afirmou que iniciou uma investigação no início deste mês, após descobrir um executável malicioso chamado “fffmpeg.exe” (note os três Fs) na pasta de instalação do Windows do software, traçando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.

“A análise do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostrou que ele foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe”, disseram os pesquisadores da Rapid7, acrescentando que “observaram scripts de PowerShell codificados sendo executados pelo binário fffmpeg.exe”.

Tanto o fffmpeg.exe quanto o instalador foram assinados com um certificado Authenticode emitido para “Vanguard Tech Limited”, ao invés de “Justice AV Solutions Inc”, a entidade de assinatura usada para autenticar as versões legítimas do software.

Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando soquetes do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar instruções adicionais do servidor.

Ele também é projetado para executar scripts de PowerShell obfuscados que tentam contornar a Interface de Digitalização Antimalware (AMSI) e desabilitar o Event Tracing para Windows (ETW), após o qual executa um comando para baixar uma carga adicional que se disfarça como um instalador do Google Chrome (“chrome_installer.exe”) de um servidor remoto.

Este binário, por sua vez, contém código para descarregar scripts Python e outro executável chamado “main.exe” e iniciar este último com o objetivo de coletar credenciais de navegadores da web. A análise da Rapid7 de “main.exe” encontrou falhas de software que impediram sua execução correta.

O RustDoor, um malware backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender em fevereiro deste ano como visando dispositivos Apple macOS, imitando uma atualização para o Microsoft Visual Studio como parte de ataques provavelmente direcionados que utilizam iscas de ofertas de emprego.

Análises subsequentes da empresa sul-coreana de cibersegurança S2W descobriram uma versão do Windows codinome GateDoor programado em Golang.

“RustDoor e GateDoor foram confirmados como sendo distribuídos sob o disfarce de atualizações normais de programas ou utilitários”, observaram os pesquisadores da S2W mais tarde naquele mês. “RustDoor e GateDoor têm endpoints sobrepostos usados na comunicação com o servidor C&C e têm funções similares.”

Há evidências de infraestrutura para conectar a família de malware a um afiliado de ransomware como um serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantou a possibilidade de que eles possam atuar como colaboradores especializados em fornecer infraestrutura para outros atores.

O uso de um instalador trojanizado do JAVS Viewer para distribuir uma versão do Windows do RustDoor também foi sinalizado anteriormente pela S2W em 2 de abril de 2024, em uma postagem compartilhada no X. Atualmente, não está claro como o site do fornecedor foi comprometido e um instalador malicioso se tornou disponível para download.

A JAVS, em um comunicado fornecido ao fornecedor de cibersegurança, disse que identificou um “possível problema de segurança” com a versão 8.3.7 do JAVS Viewer, e que retirou a versão impactada do site, redefiniu todas as senhas e conduziu uma auditoria completa de seus sistemas.

“Nenhum código-fonte da JAVS, certificados, sistemas ou outras versões de software foram comprometidos neste incidente”, disse a empresa norte-americana. “O arquivo em questão não se originou da JAVS ou de qualquer terceiro associado à JAVS. Nós encorajamos fortemente todos os usuários a verificar se a JAVS assinou digitalmente qualquer software da JAVS que eles instalam.”

Os usuários são aconselhados a verificar os indicadores de comprometimento (IoCs) e, se infectados, reimagem completamente todos os pontos finais afetados, redefinir credenciais e atualizar para a versão mais recente do JAVS Viewer.