Atacantes maliciosos inseriram um backdoor no instalador associado ao software de gravação de vídeos da sala de audiências desenvolvido pela Justice AV Solutions (JAVS) para entregar malware associado a um implante conhecido como RustDoor.
O ataque a cadeia de suprimentos de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8.7), afeta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.
A empresa de segurança cibernética Rapid7 informou que iniciou uma investigação no início deste mês após descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três Fs) na pasta de instalação do software para Windows, rastreando-o até um arquivo binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.
“A análise do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostrou que ele foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe”, disseram os pesquisadores da Rapid7, acrescentando que “observaram scripts em PowerShell codificados sendo executados pelo binário fffmpeg.exe”.
Tanto o fffmpeg.exe quanto o instalador foram assinados por um certificado Authenticode emitido para “Vanguard Tech Limited”, em vez de “Justice AV Solutions Inc”, a entidade que autentica as versões legítimas do software.
Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando sockets do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar mais instruções do servidor.
Ele também foi projetado para executar scripts em PowerShell obfuscados que tentam burlar a Interface de Verificação de Malware (AMSI) e desabilitar o Rastreamento de Eventos para Windows (ETW), após o que executa um comando para baixar uma carga adicional que se disfarça como um instalador do Google Chrome (“chrome_installer.exe”) de um servidor remoto.
Por sua vez, esse binário contém código para dropar scripts em Python e outro executável chamado “main.exe” e lançar este último com o objetivo de coletar credenciais dos navegadores da web. A análise da Rapid7 do “main.exe” encontrou bugs de software que impediram seu funcionamento adequado.
O RustDoor, um malware backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender em fevereiro deste ano como direcionado para dispositivos Apple macOS, imitando uma atualização para o Microsoft Visual Studio como parte de prováveis ataques direcionados usando iscas de ofertas de emprego.
Análises subsequentes da empresa sul-coreana de segurança cibernética S2W descobriram uma versão Windows chamada GateDoor, programada em Golang.
“Tanto RustDoor quanto GateDoor foram confirmados como sendo distribuídos sob a aparência de atualizações normais de programas ou utilitários”, observaram os pesquisadores da S2W. “RustDoor e GateDoor têm pontos finais sobrepostos usados na comunicação com o servidor C&C e têm funções semelhantes.”
Há evidências de infraestrutura que conectam a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também foi levantada a possibilidade de que eles possam estar atuando como colaboradores especializados em fornecer infraestrutura para outros atores.
O uso de um instalador trojanizado do JAVS Viewer para distribuir uma versão Windows do RustDoor foi previamente alertado pela S2W em 2 de abril de 2024, em uma postagem compartilhada no X (anteriormente Twitter). Até o momento, não está claro como o site do fornecedor foi invadido e um instalador malicioso ficou disponível para download.
A JAVS, em comunicado fornecido ao fornecedor de segurança cibernética, disse ter identificado um “possível problema de segurança” com o JAVS Viewer versão 8.3.7, e que removeu a versão afetada do site, redefiniu todas as senhas e realizou uma auditoria completa de seus sistemas.
“Nenhum código-fonte da JAVS, certificados, sistemas ou outros lançamentos de software foram comprometidos neste incidente”, disse a empresa americana. “O arquivo em questão não teve origem na JAVS ou em qualquer terceiro associado à JAVS. Nós incentivamos fortemente todos os usuários a verificar se a JAVS assinou digitalmente qualquer software da JAVS que instalem.”
Os usuários são aconselhados a verificar os indicadores de comprometimento (IoCs) e, se forem encontrados infectados, recriar completamente todos os pontos finais afetados, redefinir credenciais e atualizar para a versão mais recente do JAV Viewer.
