Atacantes maliciosos adulteraram o instalador associado ao software de gravação de vídeo da sala de audiências desenvolvido pela Justice AV Solutions (JAVS) para distribuir malware associado a um implante conhecido como RustDoor.
O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8.7), afeta o JAVS Viewer v8.3.7, um componente da JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.
A empresa de cibersegurança Rapid7 afirmou que iniciou uma investigação no início deste mês após descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três Fs) na pasta de instalação do Windows do software, rastreando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.
Ao executar o fffmpeg.exe, ele estabelece contato com um servidor de comando e controle (C&C) usando soquetes do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar instruções adicionais do servidor.
O RustDoor, um malware de backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender em fevereiro deste ano como visando dispositivos Apple macOS imitando uma atualização para o Microsoft Visual Studio como parte de ataques direcionados prováveis usando iscas de oferta de emprego.
Análises subsequentes pela empresa sul-coreana de cibersegurança S2W revelaram uma versão para Windows chamada GateDoor, programada em Golang.
Existe evidência de infraestrutura para conectar a família de malware a um afiliado de ransomware como um serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantou a possibilidade de que eles possam atuar como colaboradores especializados em fornecer infraestrutura para outros atores.
O uso de um instalador Trojanizado do JAVS Viewer para distribuir uma versão Windows do RustDoor foi anteriormente destacado pela S2W em 2 de abril de 2024, em um post compartilhado no X (anteriormente Twitter). Não está claro como o site do vendedor foi violado e um instalador malicioso ficou disponível para download.
A JAVS, em um comunicado fornecido ao fornecedor de cibersegurança, disse que identificou um “possível problema de segurança” com a versão 8.3.7 do JAVS Viewer e que retirou a versão impactada do site, redefiniu todas as senhas e conduziu uma auditoria completa em seus sistemas.
Os usuários são aconselhados a verificar os indicadores de comprometimento (IoCs) e, se infectados, recriar completamente todos os endpoints afetados, redefinir as credenciais e atualizar para a versão mais recente do JAVS Viewer.
