Software de gravação judicial comprometido
24 de Maio de 2024

Os atacantes inseriram um backdoor no instalador do software de gravação de vídeo em tribunais amplamente utilizado, chamado Justice AV Solutions (JAVS), com um malware que permite que eles assumam o controle dos sistemas comprometidos.

A empresa por trás deste software, também conhecida como JAVS, informa que a ferramenta de gravação digital atualmente possui mais de 10.000 instalações em vários tribunais, escritórios jurídicos, instalações correcionais e agências governamentais ao redor do mundo.

A JAVS desde então removeu a versão comprometida de seu site oficial, dizendo que o software com trojan contendo um binário malicioso ffmpeg.exe "não se originou da JAVS ou de qualquer terceira parte associada à JAVS."

A empresa também realizou uma auditoria completa de todos os sistemas e redefiniu todas as senhas para garantir que, se roubadas, não pudessem ser usadas em futuras tentativas de invasão.

"Através do monitoramento contínuo e colaboração com autoridades cibernéticas, identificamos tentativas de substituir nosso software Viewer 8.3.7 por um arquivo comprometido", disse a empresa.

Confirmamos que todos os arquivos atualmente disponíveis no site JAVS.com são autênticos e livres de malware.

Verificamos ainda que nenhum código-fonte, certificados, sistemas ou outras versões de software da JAVS foram comprometidos nesse incidente.

A empresa de cibersegurança Rapid7 investigou esse incidente na cadeia de suprimentos (agora rastreado como CVE-2024-4978 ) e descobriu que o grupo de inteligência de ameaças S2W Talon foi o primeiro a detectar o instalador trojanizado da JAVS no início de abril e o vinculou ao malware Rustdoor/GateDoor.

Ao analisar um incidente ligado ao CVE-2024-4978 em 10 de maio, a Rapid7 descobriu que o malware envia informações do sistema para seu servidor de comando e controle (C2) após ser instalado e lançado.

Em seguida, executa dois scripts do PowerShell ofuscados que tentarão desativar o Event Tracing para Windows (ETW) e contornar a Anti-Malware Scan Interface (AMSI).

Depois, um payload adicional baixado de seu servidor C2 solta scripts em Python, que começarão a coletar credenciais armazenadas nos navegadores web no sistema.

Segundo a Rapid7, o instalador com backdoor (JAVS.Viewer8.Setup_8.3.7.250-1.exe)—classificado por muitos fornecedores de segurança como um malware dropper—foi baixado do site oficial da JAVS.

Na quinta-feira(23), a empresa de cibersegurança alertou os clientes da JAVS para reimaginar todos os endpoints onde implantaram o instalador com trojan.

Para garantir que o acesso dos atacantes seja cortado, eles também devem redefinir todas as credenciais usadas para se conectar a endpoints potencialmente comprometidos e atualizar o software JAVS Viewer para a versão 8.3.9 ou superior (a versão segura mais recente) após reimaginar os sistemas.

"Simplemente desinstalar o software é insuficiente, pois os atacantes podem ter implantado backdoors ou malware adicionais.Reimaginar fornece uma folha limpa", alertou a empresa.

Reimaginar completamente os endpoints afetados e redefinir as credenciais associadas é crítico para garantir que os atacantes não persistam através de backdoors ou credenciais roubadas.

Em março do ano passado, o fabricante de software de videoconferência 3CX divulgou que seu cliente de desktop baseado em Electron, 3CXDesktopApp, também foi trojanizado em um ataque semelhante por um grupo de hackers norte-coreano rastreado como UNC4736 para distribuir malware.

Durante esse ataque, os atores da ameaça usaram uma versão maliciosa de uma DLL ffmpeg.

Quatro anos atrás, o grupo de hacking russo APT29 violou os sistemas internos da SolarWinds e infiltrou-se nos sistemas de várias agências governamentais dos EUA após injetar código malicioso nos builds da plataforma de administração de TI SolarWinds Orion que baixaram entre março de 2020 e junho de 2020.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...