Agentes maliciosos inseriram um backdoor no instalador associado ao software de gravação de vídeo de tribunal desenvolvido pela Justice AV Solutions (JAVS) para entregar malware associado a um implante conhecido como RustDoor. O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978 (CVSS score: 8.7), afeta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal. A empresa de cibersegurança Rapid7 afirmou que iniciou uma investigação após descobrir um executável malicioso chamado “fffmpeg.exe” na pasta de instalação do software, rastreando-o até um binário denominado “JAVS Viewer Setup 8.3.7.250-1.exe” baixado do site oficial JAVS em 5 de março de 2024. Análises mostraram que o instalador JAVS Viewer Setup 8.3.7.250-1.exe foi assinado com uma assinatura Authenticode inesperada e continha o binário fffmpeg.exe, além de scripts de PowerShell codificados sendo executados pelo binário. Tanto fffmpeg.exe quanto o instalador foram assinados com um certificado Authenticode emitido para “Vanguard Tech Limited”, diferente da entidade de assinatura “Justice AV Solutions Inc” usada para autenticar as versões legítimas do software. Ao ser executado, fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) para enviar informações sobre o host comprometido e aguardar instruções adicionais do servidor. O malware também é projetado para executar scripts de PowerShell obfuscados que tentam contornar a verificação de antivírus e desativar o Event Tracing for Windows (ETW), seguido pelo download de um payload adicional disfarçado como um instalador do Google Chrome (“chrome_installer.exe”) de um servidor remoto. Esse binário contém código para soltar scripts Python e outro executável chamado “main.exe” que coleta credenciais de navegadores da web, embora apresente falhas de software que impediram seu funcionamento correto. O RustDoor, um malware backdoor baseado em Rust, foi primeiramente documentado pela Bitdefender em fevereiro deste ano, visando dispositivos Apple macOS através da imitação de uma atualização para o Microsoft Visual Studio, fazendo parte de ataques direcionados usando iscas de ofertas de emprego. Análises subsequentes revelaram uma versão Windows do RustDoor chamada GateDoor, programada em Golang. Existe evidência de infraestrutura que conecta a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate, levantando a possibilidade de atuarem como colaboradores especializados em fornecer infraestrutura a outros atores. A utilização de um instalador trojanizado do JAVS Viewer para distribuir uma versão Windows do RustDoor foi previamente identificada pela S2W em um post compartilhado no X. Atualmente não está claro como o site do fornecedor foi comprometido e um instalador malicioso tornou-se disponível para download. A JAVS, em uma declaração fornecida ao fornecedor de cibersegurança, disse ter identificado um “possível problema de segurança” com a versão 8.3.7 do JAVS Viewer, removido a versão impactada do site, redefinido todas as senhas e conduzido uma auditoria completa de seus sistemas. A empresa americana afirmou que nenhum código-fonte JAVS, certificados, sistemas ou outros lançamentos de software foram comprometidos neste incidente, enfatizando a importância dos usuários verificarem a assinatura digital de qualquer software da JAVS que instalarem. Recomenda-se que os usuários verifiquem indicadores de comprometimento (IoCs) e, se infectados, reimagem completamente todos os endpoints afetados, redefinam as credenciais e atualizem para a versão mais recente do JAVS Viewer.