Los actores maliciosos han creado una puerta trasera al instalador asociado con el software de grabación de video de la sala del tribunal desarrollado por Justice AV Solutions (JAVS) para entregar malware asociado con una puerta trasera conocida llamada óxidopor.
El ataque a la cadena de suministro de software, rastreado como CVE-2024-4978afecta a JAVS Viewer v8.3.7, un componente del JAVS Suite 8 que permite a los usuarios crear, administrar, publicar y ver grabaciones digitales de procedimientos judiciales, reuniones de negocios y sesiones del ayuntamiento.
Empresa de ciberseguridad Rapid7 dicho comenzó una investigación a principios de este mes después de descubrir un ejecutable malicioso llamado «fffmpeg.exe» (tenga en cuenta las tres F) en la carpeta de instalación del software en Windows, rastreándolo hasta un binario llamado «JAVS Viewer Setup 8.3.7.250-1.exe » que se descargó del sitio oficial de JAVS el 5 de marzo de 2024.
«El análisis del instalador JAVS Viewer Setup 8.3.7.250-1.exe mostró que estaba firmado con una firma Authenticode inesperada y contenía el binario fffmpeg.exe», dijeron los investigadores de Rapid7, y agregaron que «observaron scripts PowerShell codificados ejecutados por el binario fffmpeg.exe.»
Tanto fffmpeg.exe como el instalador han sido firmados mediante un certificado Authenticode emitido a «Vanguard Tech Limited», a diferencia de «Justice AV Solutions Inc», la entidad firmante utilizada para autenticar las versiones legítimas del software.
Tras la ejecución, fffmpeg.exe establece contacto con un servidor de comando y control (C&C) utilizando sockets de Windows y solicitudes WinHTTP para enviar información sobre el host comprometido y esperar más instrucciones del servidor.
También está diseñado para ejecutar scripts de PowerShell ofuscados que intentan eludir la interfaz de escaneo antimalware (AMSI) y deshabilitar el seguimiento de eventos para Windows (ETW), después de lo cual ejecuta un comando para descargar una carga útil adicional que se hace pasar por un instalador de Google Chrome («chrome_installer .exe») desde un servidor remoto.
Este binario, a su vez, contiene código para eliminar scripts de Python y otro ejecutable llamado «main.exe» e iniciar este último con el objetivo de recopilar credenciales de los navegadores web. El análisis de Rapid7 de «main.exe» encontró errores de software que impedían que se ejecutara correctamente.
RustDoor, un malware de puerta trasera basado en Rust, fue documentado por primera vez por Bitdefender a principios de febrero dirigido a dispositivos Apple macOS al imitar una actualización para Microsoft Visual Studio como parte de probables ataques dirigidos utilizando señuelos de oferta de trabajo.
Un análisis posterior realizado por la empresa surcoreana de ciberseguridad S2W descubrió una versión de Windows con el nombre en código GateDoor que está programada en Golang.
«Se ha confirmado que tanto RustDoor como GateDoor se distribuyen bajo la apariencia de actualizaciones o utilidades normales del programa», dijeron los investigadores de S2W Minyeop Choi, Sojun Ryu, Sebin Lee y HuiSeong Yang. anotado más tarde ese mes. «RustDoor y GateDoor tienen puntos finales superpuestos que se utilizan cuando se comunican con el servidor C&C y tienen funciones similares».
Existe evidencia de infraestructura para conectar la familia de malware con un afiliado de ransomware como servicio (RaaS) llamado Sindicato de sombras. Sin embargo, también ha planteado la posibilidad de que pueda estar actuando como colaborador especializado en dotar de infraestructuras a otros actores.
El uso de un instalador troyanizado de JAVS Viewer para distribuir una versión de Windows de RustDoor también fue señalado anteriormente por S2W el 2 de abril de 2024, en un correo en X (anteriormente Twitter). Actualmente no está claro cómo se violó el sitio del proveedor y cómo quedó disponible para descargar un instalador malicioso.
JAVS, en una declaración proporcionada al proveedor de ciberseguridad, dijo que identificó un «problema potencial de seguridad» con la versión 8.3.7 de JAVS Viewer y que retiró la versión afectada del sitio web, restableció todas las contraseñas y realizó una auditoría completa de su sistemas.
«Ningún código fuente JAVS, certificados, sistemas u otras versiones de software se vieron comprometidos en este incidente», dijo la compañía estadounidense. «El archivo en cuestión no se originó en JAVS ni en ningún tercero asociado con JAVS. Recomendamos encarecidamente a todos los usuarios que verifiquen que JAVS haya firmado digitalmente cualquier software JAVS que instalen».
Se recomienda a los usuarios que comprueben los indicadores de compromiso (IoC) y, si descubren que están infectados, vuelvan a crear imágenes de todos los puntos finales afectados, restablezcan las credenciales y actualicen a la última versión de JAVS Viewer.