Os atacantes inseriram um backdoor no instalador do software de gravação de vídeo em tribunais amplamente utilizado, chamado Justice AV Solutions (JAVS), com um malware que permite que eles assumam o controle dos sistemas comprometidos.
A empresa por trás deste software, também conhecida como JAVS, informa que a ferramenta de gravação digital atualmente possui mais de 10.000 instalações em vários tribunais, escritórios jurídicos, instalações correcionais e agências governamentais ao redor do mundo.
A JAVS desde então removeu a versão comprometida de seu site oficial, dizendo que o software com trojan contendo um binário malicioso ffmpeg.exe "não se originou da JAVS ou de qualquer terceira parte associada à JAVS."
A empresa também realizou uma auditoria completa de todos os sistemas e redefiniu todas as senhas para garantir que, se roubadas, não pudessem ser usadas em futuras tentativas de invasão.
"Através do monitoramento contínuo e colaboração com autoridades cibernéticas, identificamos tentativas de substituir nosso software Viewer 8.3.7 por um arquivo comprometido", disse a empresa.
Confirmamos que todos os arquivos atualmente disponíveis no site JAVS.com são autênticos e livres de malware.
Verificamos ainda que nenhum código-fonte, certificados, sistemas ou outras versões de software da JAVS foram comprometidos nesse incidente.
A empresa de cibersegurança Rapid7 investigou esse incidente na cadeia de suprimentos (agora rastreado como
CVE-2024-4978
) e descobriu que o grupo de inteligência de ameaças S2W Talon foi o primeiro a detectar o instalador trojanizado da JAVS no início de abril e o vinculou ao malware Rustdoor/GateDoor.
Ao analisar um incidente ligado ao
CVE-2024-4978
em 10 de maio, a Rapid7 descobriu que o malware envia informações do sistema para seu servidor de comando e controle (C2) após ser instalado e lançado.
Em seguida, executa dois scripts do PowerShell ofuscados que tentarão desativar o Event Tracing para Windows (ETW) e contornar a Anti-Malware Scan Interface (AMSI).
Depois, um payload adicional baixado de seu servidor C2 solta scripts em Python, que começarão a coletar credenciais armazenadas nos navegadores web no sistema.
Segundo a Rapid7, o instalador com backdoor (JAVS.Viewer8.Setup_8.3.7.250-1.exe)—classificado por muitos fornecedores de segurança como um malware dropper—foi baixado do site oficial da JAVS.
Na quinta-feira(23), a empresa de cibersegurança alertou os clientes da JAVS para reimaginar todos os endpoints onde implantaram o instalador com trojan.
Para garantir que o acesso dos atacantes seja cortado, eles também devem redefinir todas as credenciais usadas para se conectar a endpoints potencialmente comprometidos e atualizar o software JAVS Viewer para a versão 8.3.9 ou superior (a versão segura mais recente) após reimaginar os sistemas.
"Simplemente desinstalar o software é insuficiente, pois os atacantes podem ter implantado backdoors ou malware adicionais.Reimaginar fornece uma folha limpa", alertou a empresa.
Reimaginar completamente os endpoints afetados e redefinir as credenciais associadas é crítico para garantir que os atacantes não persistam através de backdoors ou credenciais roubadas.
Em março do ano passado, o fabricante de software de videoconferência 3CX divulgou que seu cliente de desktop baseado em Electron, 3CXDesktopApp, também foi trojanizado em um ataque semelhante por um grupo de hackers norte-coreano rastreado como UNC4736 para distribuir malware.
Durante esse ataque, os atores da ameaça usaram uma versão maliciosa de uma DLL ffmpeg.
Quatro anos atrás, o grupo de hacking russo APT29 violou os sistemas internos da SolarWinds e infiltrou-se nos sistemas de várias agências governamentais dos EUA após injetar código malicioso nos builds da plataforma de administração de TI SolarWinds Orion que baixaram entre março de 2020 e junho de 2020.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...