JAVS Viewer malware loader trovato nel sito ufficiale del fornitore
Il software di registrazione giudiziaria JAVS Viewer è stato compromesso, con un loader di malware nascosto in un installer ufficiale. Questo loader fa parte della famiglia GateDoor/Rustdoor, nota per consentire l’accesso remoto non autorizzato, raccogliere informazioni sul computer ospite e scaricare payload aggiuntivi quando richiesto.
Il malware trovato in JAVS Viewer
L’installatore JAVS Viewer Setup 8.3.7.250-1.exe, firmato con un certificato Authenticode di “Vanguard Tech Limited” e scaricato dal sito ufficiale di JAVS il 5 marzo, contiene e avvia un file binario denominato ffmpeg.exe. Questo file binario esegue script PowerShell e scarica ulteriori malware che rubano informazioni sensibili, come le credenziali memorizzate nei browser.
Gli analisti di Rapid7 hanno avvertito che gli utenti con JAVS Viewer v8.3.7 installato sono a rischio elevato e dovrebbero agire immediatamente. È necessario eseguire una re-imaging completa degli endpoint interessati e reimpostare le credenziali degli account e le sessioni del browser per garantire che gli attaccanti non abbiano accesso attraverso backdoor o che non abbiano rubato credenziali. Gli utenti dovrebbero installare la versione più recente di JAVS Viewer (8.3.8 o successiva) dopo la re-imaging degli endpoint interessati.
Due installer compromessi trovati
JAVS Viewer è un software specializzato per la registrazione audio-video in ambienti giudiziari, strutture carcerarie, sale consiliari e aule. Gli analisti di Rapid7 hanno trovato due pacchetti di installazione di JAVS Viewer compromessi firmati con il certificato Vanguard. Il primo è stato rintracciato in un download dal sito ufficiale di JAVS, ma non era presente al momento della ricerca degli analisti. Il secondo è stato trovato pochi giorni dopo ed era slegato, ma ospitato sul sito ufficiale del fornitore.
Gli analisti di Rapid7 hanno anche trovato payload malware aggiuntivi ospitati sulla C2 del threat actor, uno dei quali è stato successivamente scaricato sul sistema del cliente interessato.
JAVS reagisce
Dopo che Rapid7 ha segnalato le loro scoperte a Justice AV Solutions, l’azienda ha indagato e affermato di aver identificato un “potenziale problema di sicurezza” con la versione 8.3.7 del software JAVS Viewer. Hanno anche confermato che hanno identificato tentativi di sostituire il loro software Viewer 8.3.7 con un file compromesso.
JAVS ha rimosso tutte le versioni di Viewer 8.3.7 dal proprio sito web, ha reimpostato tutte le password, ha condotto un audit interno completo di tutti i sistemi JAVS e ha verificato che tutti i file disponibili sul sito web JAVS.com siano autentici e privi di malware.
L’azienda ha inoltre consigliato agli utenti di verificare manualmente la presenza del file ffmpeg.exe malware e, se lo trovano, di re-imaging il PC e reimpostare le credenziali. Se l’utente ha installato Viewer 8.3.7.250, ma non trova file malware, dovrebbe disinstallare il software Viewer e eseguire una scansione completa del sistema con un antivirus/malware.
Aggiornamento (23 maggio 2024, 06:15 p.m. ET):
Questo articolo è stato aggiornato per chiarire che, nonostante alcune ambiguità nella dichiarazione di JAVS a Rapid7, un installer backdoor era presente sul sito web di JAVS. L’azienda ha anche lavorato con Rapid7 e CISA durante l’intero processo, rendendo la divulgazione un’operazione completamente coordinata.
Fonte: https://www.helpnetsecurity.com/2024/05/23/javs-viewer-malware/
