Você está visualizando atualmente JAVS Software de Gravação de Tribunal com Backdoor – Implementa Malware RustDoor

JAVS Software de Gravação de Tribunal com Backdoor – Implementa Malware RustDoor

Atacantes maliciosos inseriram um backdoor no instalador associado ao software de gravação de vídeos em tribunais desenvolvido pela Justice AV Solutions (JAVS) para entregar malware associado a um implante conhecido chamado RustDoor.

O ataque à cadeia de fornecimento de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8.7), impacta o JAVS Viewer v8.3.7, um componente da JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.

A empresa de cibersegurança Rapid7 afirmou que iniciou uma investigação no início deste mês, após descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três Fs) na pasta de instalação do software no Windows, rastreando-o até um binário denominado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.

“Análise do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostrou que ele foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe”, disseram os pesquisadores da Rapid7, acrescentando que “observaram scripts de PowerShell codificados sendo executados pelo binário fffmpeg.exe”.

Tanto o fffmpeg.exe quanto o instalador foram assinados por um certificado Authenticode emitido para “Vanguard Tech Limited”, em oposição a “Justice AV Solutions Inc”, a entidade de assinatura usada para autenticar as versões legítimas do software.

Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando sockets do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar mais instruções do servidor.

Ele também foi projetado para executar scripts de PowerShell ofuscados que tentam burlar a Interface de Verificação Antimalware (AMSI) e desativar o Rastreamento de Eventos para Windows (ETW), após o que executa um comando para baixar uma carga adicional que se mascarada como um instalador do Google Chrome (“chrome_installer.exe”) de um servidor remoto.

Esse binário, por sua vez, contém código para soltar scripts Python e outro executável chamado “main.exe” e lançar o último com o objetivo de coletar credenciais dos navegadores da web. A análise da Rapid7 de “main.exe” encontrou bugs de software que impediram seu funcionamento correto.

O RustDoor, um backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender em fevereiro anterior, direcionando dispositivos Apple macOS ao mimetizar uma atualização para o Microsoft Visual Studio como parte de prováveis ataques direcionados usando iscas de oferta de emprego.

Análises subsequentes da empresa sul-coreana de cibersegurança S2W descobriram uma versão para Windows codinome GateDoor programada em Golang.

“Tanto RustDoor quanto GateDoor foram confirmados como sendo distribuídos sob a aparência de atualizações normais de programas ou utilitários”, observaram os pesquisadores da S2W mais tarde naquele mês. “RustDoor e GateDoor têm pontos de extremidade sobrepostos usados na comunicação com o servidor C&C e têm funções similares”.

Existem evidências de infraestrutura que conectam a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantaram a possibilidade de atuarem como colaboradores especializados em fornecer infraestrutura para outros atores.

O uso de um instalador trojanizado do JAVS Viewer para distribuir uma versão do RustDoor para Windows foi previamente apontado pela S2W em 2 de abril de 2024, em uma postagem compartilhada no X (anteriormente Twitter). Atualmente não está claro como o site do fornecedor foi invadido e um instalador malicioso se tornou disponível para download.

A JAVS, em comunicado fornecido ao fornecedor de cibersegurança, disse que identificou um “possível problema de segurança” com a versão 8.3.7 do JAVS Viewer e que retirou a versão afetada do site, redefiniu todas as senhas e conduziu uma auditoria completa de seus sistemas.

“Nenhum código fonte JAVS, certificados, sistemas ou outros lançamentos de software foram comprometidos neste incidente”, afirmou a empresa americana. “O arquivo em questão não originou da JAVS ou de qualquer terceiro associado à JAVS. Nós encorajamos fortemente todos os usuários a verificar se a JAVS digitalmente assinou qualquer software da JAVS que eles instalam”.

Os usuários são aconselhados a verificar indicadores de comprometimento (IoCs) e, se encontrados infectados, reimagem completamente todos os endpoints afetados, redefinir credenciais e atualizar para a versão mais recente do JAVS Viewer.