Software de sala de tribunal con puerta trasera para entregar malware RustDoor en ataque de cadena de suministro

Los atacantes han añadido un backdoor al instalador del software de grabación de videos de la sala de tribunal desarrollado por Justice AV Solutions (JAVS) para distribuir malware relacionado con RustDoor, un conocido backdoor.

Este ataque de la cadena de suministro afecta a JAVS Viewer v8.3.7, un componente de JAVS Suite 8 utilizado para crear, administrar, publicar y ver grabaciones digitales de procedimientos judiciales, reuniones comerciales y sesiones del concejo municipal.

Una pesquisa realizada por la firma de ciberseguridad Rapid7 reveló la presencia de un ejecutable malicioso llamado «fffmpeg.exe» en la carpeta de instalación de Windows, rastreado hasta un binario llamado «JAVS Viewer Setup 8.3.7.250-1.exe» descargado del sitio oficial de JAVS el 5 de marzo de 2024.

Esta investigación de Rapid7 encontró que el instalador estaba firmado con una firma Authenticode inesperada y contenía el binario fffmpeg.exe, el cual ejecutaba scripts de PowerShell codificados.

Tanto fffmpeg.exe como el instalador fueron firmados con un certificado Authenticode emitido a «Vanguard Tech Limited«, en lugar de «Justice AV Solutions Inc», la entidad de firma utilizada para autenticar las versiones legítimas del software.

Al ejecutarse, fffmpeg.exe establece contacto con un servidor de comando y control (C&C) y ejecuta scripts de PowerShell ofuscados para evadir la Interfaz de Escaneo Antimalware y desactivar el Registro de Eventos para Windows antes de descargar una carga adicional que se hace pasar por un instalador de Google Chrome desde un servidor remoto.

RustDoor, un malware backdoor basado en Rust, fue documentado por primera vez por Bitdefender y tiene un objetivo para dispositivos Apple macOS. Este malware también se ha vinculado al ransomware como servicio (RaaS) llamado ShadowSyndicate.

JAVS, que identificó un «posible problema de seguridad» con JAVS Viewer versión 8.3.7, retiró la versión afectada del sitio web, restableció todas las contraseñas y realizó una auditoría completa de sus sistemas. La empresa recomienda a los usuarios buscar indicadores de compromiso (IoC) y actualizar a la última versión de JAVS Viewer.

Vía The Hacker News