Ciberseguridad 360 | Software judicial utilizado para distribuir malware RustDoor

Agentes maliciosos han manipulado el instalador asociado al software de grabaci�n de v�deo de salas de vistas desarrollado por Justice AV Solutions (JAVS) para distribuir malware asociado a una puerta trasera conocida como RustDoor.

El ataque a la cadena de suministro de software, rastreado como CVE-2024-4978, afecta a JAVS Viewer v8.3.7, un componente de JAVS Suite 8 que permite a los usuarios crear, gestionar, publicar y visualizar grabaciones digitales de procedimientos judiciales, reuniones de negocios y sesiones del ayuntamiento.

La empresa de ciberseguridad Rapid7 dijo que inici� una investigaci�n a principios de este mes despu�s de descubrir un ejecutable malicioso llamado "fffmpeg.exe" (n�tese las tres efes) en la carpeta de instalaci�n de Windows del software, rastre�ndolo hasta un binario llamado "JAVS Viewer Setup 8.3.7.250-1.exe" que se descarg� del sitio oficial de JAVS el 5 de marzo de 2024.

"El an�lisis del instalador JAVS Viewer Setup 8.3.7.250-1.exe mostr� que estaba firmado con una firma Authenticode inesperada y conten�a el binario fffmpeg.exe", dijeron los investigadores de Rapid7, a�adiendo que "observaron scripts PowerShell codificados siendo ejecutados por el binario fffmpeg.exe."

Tanto fffmpeg.exe como el instalador han sido firmados por un certificado Authenticode emitido a nombre de "Vanguard Tech Limited", en lugar de "Justice AV Solutions Inc", la entidad firmante utilizada para autenticar las versiones leg�timas del software.

Una vez ejecutado, fffmpeg.exe establece contacto con un servidor de comando y control (C&C) utilizando sockets de Windows y peticiones WinHTTP para enviar informaci�n sobre el host infectado y esperar instrucciones del servidor.

Tambi�n est� dise�ado para ejecutar secuencias de comandos PowerShell ofuscadas que intentan eludir Antimalware Scan Interface (AMSI) y desactivar Event Tracing for Windows (ETW), tras lo cual ejecuta un comando para descargar una carga �til adicional que se hace pasar por un instalador de Google Chrome ("chrome_installer.exe") desde un servidor remoto.

Este binario, a su vez, contiene c�digo para soltar scripts Python y otro ejecutable llamado "main.exe" y lanzar este �ltimo con el objetivo de recopilar credenciales de los navegadores web. El an�lisis de Rapid7 de "main.exe" encontr� fallos de software que imped�an que se ejecutara correctamente.

RustDoor, un malware de puerta trasera basado en Rust, fue documentado por primera vez por Bitdefender a principios de febrero como dirigido a dispositivos macOS de Apple imitando una actualizaci�n de Microsoft Visual Studio como parte de probables ataques dirigidos utilizando se�uelos de ofertas de trabajo.

Un an�lisis posterior de la empresa surcoreana de ciberseguridad S2W desvel� una versi�n para Windows con el nombre en clave GateDoor programada en Golang.

Los investigadores de S2W Minyeop Choi, Sojun Ryu, Sebin Lee y HuiSeong Yang se�alaron ese mismo mes que "se ha confirmado que tanto RustDoor como GateDoor se distribuyen bajo la apariencia de actualizaciones de programas o utilidades normales". "RustDoor y GateDoor tienen puntos finales superpuestos utilizados cuando se comunican con el servidor de C&C y tienen funciones similares".

Existen pruebas de infraestructura que conectan a la familia de malware con una filial de ransomware-as-a-service (RaaS) llamada ShadowSyndicate. Sin embargo, tambi�n se ha planteado la posibilidad de que pudieran estar actuando como un colaborador especializado en proporcionar infraestructura a otros actores.

El uso de un instalador de JAVS Viewer troyanizado para distribuir una versi�n de RustDoor para Windows tambi�n fue se�alado por S2W el 2 de abril de 2024, en un post compartido en X (antes Twitter). Actualmente no est� claro c�mo el sitio del proveedor fue violado y un instalador malicioso lleg� a estar disponible para su descarga.

JAVS, en una declaraci�n proporcionada al proveedor de ciberseguridad, dijo que identific� un "posible problema de seguridad" con la versi�n 8.3.7 de JAVS Viewer, y que retir� la versi�n afectada del sitio web, restableci� todas las contrase�as y llev� a cabo una auditor�a completa de sus sistemas.

"Ning�n c�digo fuente de JAVS, certificados, sistemas u otras versiones de software se vieron comprometidos en este incidente", dijo la compa��a estadounidense. "El archivo en cuesti�n no proced�a de JAVS ni de ning�n tercero asociado con JAVS. Recomendamos encarecidamente a todos los usuarios que comprueben que JAVS ha firmado digitalmente cualquier software JAVS que instalen."

Se aconseja a los usuarios que comprueben si hay indicadores de compromiso (IoC) y, en caso de estar infectados, vuelvan a realizar una imagen completa de todos los puntos finales afectados, restablezcan las credenciales y actualicen a la �ltima versi�n de JAVS Viewer.

Fuente: thehackernews