Ευπάθεια στο λογισμικό JAVS χρησιμοποιείται για τη διάδοση του RustDoor malware
Κακόβουλοι χρήστες έχουν παραβιάσει τον εγκαταστάτη λογισμικού καταγραφής βίντεο δικαστηρίων, που έχει αναπτυχθεί από την Justice AV Solutions (JAVS), για να διανείμουν το κακόβουλο λογισμικό (malware) RustDoor.
Η επίθεση, που αναγνωρίστηκε ως CVE-2024-4978, επηρεάζει το JAVS Viewer v8.3.7, το οποίο χρησιμοποιείται για τη διαχείριση καταγραφών δικαστηρίων. Η εταιρεία κυβερνοασφάλειας Rapid7 ξεκίνησε την έρευνα αφού βρήκε ένα κακόβουλο εκτελέσιμο αρχείο, με την ονομασία “fffmpeg.exe,” στον φάκελο εγκατάστασης του λογισμικού για τα Windows. Το εκτελέσιμο αυτό ανιχνεύθηκε σε ένα binary που κατέβηκε από τον επίσημο ιστότοπο της JAVS τον Μάρτιο του 2024, το οποίο είχε υπογραφεί με απρόσμενη ψηφιακή υπογραφή Authenticode από την “Vanguard Tech Limited” αντί της “Justice AV Solutions Inc.”
Το παραβιασμένο εκτελέσιμο συνδέεται με έναν διακομιστή εντολών και ελέγχου, εκτελεί συγκαλυμμένα PowerShell scripts για να παρακάμψει τα μέτρα ασφαλείας και κατεβάζει επιπλέον payloads που μεταμφιέζονται ως εγκαταστάτης του Google Chrome. Αυτά τα payloads στοχεύουν στην ανάκτηση πιστοποιητικών από προγράμματα browser αλλά βρέθηκαν να έχουν σφάλματα που εμποδίζουν την ορθή εκτέλεση.
Το RustDoor, ένα κακόβουλο λογισμικό backdoor βασισμένο στη γλώσσα Rust, αρχικά στόχευε συσκευές macOS και αργότερα εμφανίστηκε σε μια έκδοση για Windows που ονομάζεται GateDoor, γραμμένη στη γλώσσα Golang. Και οι δύο εκδόσεις διανέμονται μεταμφιεσμένες ως νόμιμες ενημερώσεις και μοιράζονται τα ίδια σημεία επικοινωνίας. Συνδέονται με τον ransomware-as-a-service affiliate, ShadowSyndicate.
Η JAVS επιβεβαίωσε το ζήτημα ασφαλείας, απέσυρε την επηρεασμένη έκδοση, επανακαθόρισε τους κωδικούς πρόσβασης και έλεγξε τα συστήματα της. Διαβεβαίωσαν ότι δεν παραβιάστηκαν ούτε ο πηγαίος κώδικας ούτε τα πιστοποιητικά. Οι χρήστες συμβουλεύονται να επαληθεύσουν την αυθεντικότητα του λογισμικού της JAVS, να ελέγξουν για δείκτες παραβίασης και να αναδιαμορφώσουν τα μολυσμένα συστήματα.
