Você está visualizando atualmente JAVS Gravador de Sala de Tribunal Com Backdoor – Implanta Malware RustDoor

JAVS Gravador de Sala de Tribunal Com Backdoor – Implanta Malware RustDoor

Atacantes maliciosos inseriram um backdoor no instalador associado ao software de gravação de vídeo em salas de audiência desenvolvido pela Justice AV Solutions (JAVS) para distribuir malware que está associado a um backdoor conhecido como RustDoor.

O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978, afeta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.

A empresa de segurança cibernética Rapid7 iniciou uma investigação após descobrir um arquivo executável malicioso chamado “fffmpeg.exe” na pasta de instalação do Windows do software, traçando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” baixado do site oficial da JAVS em 5 de março de 2024.

Análises do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostraram que estava assinado com uma assinatura Authenticode inesperada e continha a binário fffmpeg.exe. Também foram observados scripts de PowerShell codificados sendo executados pelo binário fffmpeg.exe.

Tanto o fffmpeg.exe quanto o instalador foram assinados com um certificado Authenticode emitido para a “Vanguard Tech Limited”, em vez da “Justice AV Solutions Inc”, entidade usada para autenticar as versões legítimas do software.

Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando soquetes do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar mais instruções do servidor.

Ele também foi projetado para executar scripts de PowerShell ofuscados que tentam contornar a Interface de Varredura Antimalware (AMSI) e desabilitar o Event Tracing for Windows (ETW), após o que executa um comando para baixar um payload adicional que se disfarça como um instalador para o Google Chrome (“chrome_installer.exe”) de um servidor remoto.

Esse binário, por sua vez, contém código para baixar scripts em Python e outro executável chamado “main.exe” e iniciar este último com o objetivo de coletar credenciais de navegadores da web. A análise da Rapid7 do “main.exe” encontrou bugs de software que impediram seu funcionamento correto.

O RustDoor, um malware backdoor baseado em Rust, foi primeiramente documentado pela Bitdefender em fevereiro deste ano, visando dispositivos Apple macOS, imitando uma atualização para o Microsoft Visual Studio como parte de ataques direcionados usando iscas de ofertas de emprego.

Análises subsequentes pela empresa sul-coreana de segurança cibernética S2W descobriram uma versão para Windows chamada GateDoor, programada em Golang.

Existe evidência de infraestrutura que conecta a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também foi levantada a possibilidade de que eles possam atuar como colaboradores especializados em fornecer infraestrutura para outros atores.

A utilização de um instalador trojanizado do JAVS Viewer para distribuir uma versão para Windows do RustDoor foi anteriormente identificada pela S2W em 2 de abril de 2024. Não está claro como o site do fornecedor foi invadido e um instalador malicioso ficou disponível para download.

A JAVS, em comunicado fornecido ao fornecedor de segurança cibernética, disse que identificou um “potencial problema de segurança” com a versão 8.3.7 do JAVS Viewer e que retirou a versão afetada do site, redefiniu todas as senhas e realizou uma auditoria completa de seus sistemas.

“Não houve comprometimento do código-fonte, certificados, sistemas ou outros lançamentos de software da JAVS nesse incidente,” disse a empresa americana. “O arquivo em questão não teve origem da JAVS ou de terceiros associados à JAVS. Nós encorajamos fortemente a todos os usuários a verificar se a JAVS assinou digitalmente qualquer software que instalarem.”

Os usuários são aconselhados a verificar indicadores de comprometimento (IoCs) e, se infectados, reconfigurar completamente todos os endpoints afetados, redefinir as credenciais e atualizar para a versão mais recente do JAVS Viewer.