Atacantes maliciosos incorporaram um backdoor ao instalador associado ao software de gravação de vídeo em sala de audiência desenvolvido pela Justice AV Solutions (JAVS) para entregar malware relacionado a um implante conhecido como RustDoor.
O ataque ao fornecimento de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8,7), afeta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.
A empresa de cibersegurança Rapid7 informou que iniciou uma investigação no início deste mês após descobrir um executável malicioso chamado “fffmpeg.exe” (observe os três Fs) na pasta de instalação do Windows do software, rastreando-o até um binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial do JAVS em 5 de março de 2024.
“A análise do instalador JAVS Viewer Setup 8.3.7.250-1.exe mostrou que ele foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe”, disseram os pesquisadores da Rapid7, acrescentando que “observaram scripts do PowerShell codificados sendo executados pelo binário fffmpeg.exe.”
Tanto o fffmpeg.exe quanto o instalador foram assinados com um certificado Authenticode emitido para “Vanguard Tech Limited”, em vez de “Justice AV Solutions Inc”, a entidade de assinatura usada para autenticar as versões legítimas do software.
Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando soquetes do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar novas instruções do servidor.
Ele também é projetado para executar scripts do PowerShell ofuscados que tentam evitar a Interface de Verificação de Malware (AMSI) e desativar o Rastreamento de Eventos do Windows (ETW), após o que executa um comando para baixar uma carga adicional que se disfarça como um instalador para o Google Chrome (“chrome_installer.exe”) de um servidor remoto.
Esse binário, por sua vez, contém código para soltar scripts Python e outro executável chamado “main.exe” e iniciar este último com o objetivo de coletar credenciais de navegadores da web. A análise da Rapid7 de “main.exe” encontrou bugs de software que impediram seu funcionamento correto.
RustDoor, um malware backdoor baseado em Rust, foi documentado pela primeira vez pela Bitdefender em fevereiro deste ano, visando dispositivos Apple macOS, imitando uma atualização do Microsoft Visual Studio como parte de prováveis ataques direcionados usando iscas de ofertas de emprego.
Análises subsequentes realizadas pela empresa sul-coreana de cibersegurança S2W descobriram uma versão Windows chamada GateDoor, programada em Golang.
“Tanto RustDoor quanto GateDoor foram confirmados como distribuídos sob o disfarce de atualizações de programas normais ou utilitários”, observaram mais tarde os pesquisadores da S2W Minyeop Choi, Sojun Ryu, Sebin Lee e HuiSeong Yang. “RustDoor e GateDoor têm endpoints sobrepostos usados na comunicação com o servidor C&C e funções similares.”
Há evidências de infraestrutura para conectar a família de malware a um afiliado de ransomware como um serviço (RaaS) chamado ShadowSyndicate. No entanto, também foi levantada a possibilidade de que eles possam atuar como colaboradores especializados em fornecer infraestrutura para outros atores.
O uso de um instalador trojanizado do JAVS Viewer para distribuir uma versão Windows do RustDoor também foi sinalizado anteriormente pela S2W em 2 de abril de 2024, em uma postagem compartilhada no X (anteriormente Twitter). Atualmente não está claro como o site do fornecedor foi violado e um instalador malicioso se tornou disponível para download.
A JAVS, em um comunicado fornecido ao fornecedor de cibersegurança, disse que identificou um “possível problema de segurança” com o JAVS Viewer versão 8.3.7, e que retirou a versão afetada do site, redefiniu todas as senhas e realizou uma auditoria completa de seus sistemas.
“Nenhum código-fonte, certificados, sistemas ou outros lançamentos de software da JAVS foram comprometidos neste incidente”, disse a empresa americana. “O arquivo em questão não é originário da JAVS ou de terceiros associados à JAVS. Nós incentivamos fortemente todos os usuários a verificar se a JAVS assinou digitalmente qualquer software da JAVS que instalem.”
Os usuários são aconselhados a verificar indicadores de comprometimento (IoCs) e, se encontrarem infecção, refazer completamente todos os endpoints afetados, redefinir credenciais e atualizar para a última versão do JAVS Viewer.
