Você está visualizando atualmente JAVS Software de Gravação de Tribunal Manuseado – Implanta Malware RustDoor

JAVS Software de Gravação de Tribunal Manuseado – Implanta Malware RustDoor

Agentes maliciosos inseriram um backdoor no instalador associado a um software de gravação de vídeo de tribunal desenvolvido pela Justice AV Solutions (JAVS) para entregar malware associado a um implante conhecido como RustDoor.

O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8,7), afeta o JAVS Viewer v8.3.7, um componente da JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos em tribunal, reuniões de negócios e sessões do conselho municipal.

A empresa de cibersegurança Rapid7 anunciou que iniciou uma investigação no início deste mês, após descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três “Fs”) na pasta de instalação do Windows do software, rastreando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.

Após a execução, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando sockets do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar mais instruções do servidor.

Também é projetado para executar scripts PowerShell obfuscados que tentam contornar a Interface de Verificação Antimalware (AMSI) e desativar o Event Tracing for Windows (ETW), após o qual executa um comando para baixar uma carga adicional que se disfarça como um instalador para o Google Chrome (“chrome_installer.exe”) de um servidor remoto.

Este binário, por sua vez, contém código para despejar scripts Python e outro executável chamado “main.exe” e lançar este último com o objetivo de coletar credenciais de navegadores da web. A análise da Rapid7 sobre o “main.exe” constatou bugs de software que impediram sua execução adequada.

RustDoor, um malware backdoor baseado em Rust, foi primeiramente documentado pela Bitdefender no início de fevereiro, direcionando dispositivos Apple macOS, imitando uma atualização do Microsoft Visual Studio como parte de ataques direcionados.

Análises subsequentes da empresa sul-coreana de cibersegurança S2W descobriram uma versão para Windows denominada GateDoor, programada em Golang.

Há evidências de infraestrutura que conectam a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantou a possibilidade de que eles possam estar atuando como colaboradores especializados em fornecer infraestrutura para outros atores.