.
A justiça foi feita… ou deveria ser salva agora que o software audiovisual implantado em mais de 10.000 tribunais está mais uma vez seguro depois que os pesquisadores descobriram evidências de que ele havia sido hackeado por semanas.
O incidente está sendo tratado como um suposto ataque à cadeia de suprimentos da Justice AV Solutions (JAVS) por pesquisadores da loja de segurança Rapid7, que iniciou uma investigação após um alerta na solução MDR de um cliente.
JAVS é um fornecedor de software com sede em Kentucky especializado no desenvolvimento de aplicativos para uso em tribunais, prisões e auditórios, entre outros. Acredita-se que um de seus instaladores tenha sido envenenado por um invasor desconhecido e qualquer pessoa que execute o JAVS Viewer v8.3.7 provavelmente deverá entrar em ação imediatamente.
Mitigar a ameaça, identificada como CVE-2024-4978 (8.7), é um pouco mais técnico do que simplesmente atualizar para uma versão segura. Dado que o backdoor permitiu aos invasores acesso total aos sistemas infectados e, como resultado, poderia ter estabelecido persistência, os analistas da Rapid7 dizem que é necessário um trabalho completo de recriação da imagem.
“Recrie a imagem de todos os endpoints onde o JAVS Viewer 8.3.7 foi instalado”, escreveu no blog a equipe de dez analistas. “A simples desinstalação do software não é suficiente, pois os invasores podem ter implantado backdoors ou malware adicionais.
“Redefina as credenciais de todas as contas que foram conectadas aos endpoints afetados. Isso inclui contas locais no próprio endpoint, bem como quaisquer contas remotas acessadas durante o período em que o JAVS Viewer 8.3.7 foi instalado. Os invasores podem ter roubado credenciais de sistemas comprometidos.”
As credenciais usadas em navegadores da web também devem ser redefinidas, pois as sessões podem ser sequestradas para roubar cookies, senhas e outros segredos. Somente após essas etapas serem executadas os usuários deverão instalar a versão segura mais recente do software (8.3.9 ou posterior).
Examinando o instalador, Ipek Solak, analista de detecção e resposta da Rapid7 que descobriu o problema, localizou um binário chamado fffmpeg.exe que foi rapidamente divulgado como aquele que fornecia acesso remoto por meio de um servidor de comando e controle (C2).
Nota rápida: qualquer avistamento de ffmpeg.exe no instalador é aceitável – ele deveria estar lá. Três f significam que você está com problemas. Dois está bem.
O fffmpeg.exe já foi vinculado à conhecida família de malware GateDoor/Rustdoor, descoberta pela S2W no início deste ano, e a execução de seu hash SHA1 por meio do VirusTotal revela vários fornecedores sinalizando-o como um conta-gotas malicioso. Disseram-nos que também foi assinado usando um certificado registrado em “Vanguard Tech Limited”, em vez de “Justice AV Solutions Inc”, como todos os outros arquivos legítimos no instalador.
Na prática, o binário coletava detalhes do sistema e os enviava de volta ao invasor por meio do canal C2. Ele permitiu que os invasores executassem scripts ofuscados do PowerShell, que foram revelados para ignorar as proteções antimalware, desabilitar o rastreamento de eventos para Windows e baixar uma carga adicional.
Os invasores usariam então binários adicionais para obter credenciais do navegador, daí a necessidade de possíveis vítimas redefinirem os seus antes de atualizar para uma versão segura.
Cronograma de divulgação e resposta do JAVS
Os primeiros olhares sobre o JAVS surgiram no início de abril, depois que um pesquisador de inteligência de ameaças da S2W fez um Xeeted sobre o malware hospedado na página de downloads do fornecedor, mas não recebeu muita atenção na época.
Foi mais de um mês depois, em 10 de maio, quando o MDR de um cliente Rapid7 detectou um arquivo de aparência duvidosa, levando os analistas da empresa a investigar. No momento em que o Rapid7 rastreou a fonte até a página de downloads do JAVS, ele percebeu que o malware não estava mais hospedado lá.
Ainda não sabemos por que isso acontece ou quem o removeu do site. Entramos em contato com o JAVS, mas não recebemos resposta imediata.
Dias depois, um instalador malicioso separado foi encontrado na página de downloads do JAVS, diferente do arquivo duvidoso que colocou o Rapid7 em ação.
“Isso confirma que o site do fornecedor foi a fonte da infecção inicial”, afirmou Rapid7.
Não conseguimos entrar em contato com o JAVS para saber sua versão da história, mas ele forneceu uma declaração aos pesquisadores, dizendo que trabalhou com as autoridades para entender o que estava acontecendo e agora acredita que sua página de downloads é segura e livre de malware.
“O arquivo em questão não foi originado do JAVS ou de qualquer terceiro associado ao JAVS”, disse o fornecedor. “Encorajamos fortemente todos os usuários a verificar se o JAVS assinou digitalmente qualquer software JAVS que instalarem.
“Quaisquer arquivos encontrados assinados por outras partes devem ser considerados suspeitos. Estamos revisitando nosso processo de lançamento para fortalecer a certificação de arquivos. Sugerimos fortemente que os clientes se mantenham atualizados com todos os lançamentos de software e patches de segurança e usem medidas de segurança robustas, como firewalls e proteção contra malware .”
JAVS acrescentou que seus próprios técnicos costumam instalar o software backdoor e sempre validam suas instalações.
“Agradecemos sua compreensão e cooperação na manutenção de um ambiente seguro para todos os nossos usuários. Se você tiver alguma dúvida ou preocupação, não hesite em entrar em contato com nossa equipe de suporte pelo telefone 1-877-JAVSHLP (877-528-7457).”
O número de usuários afetados não é conhecido. Perguntamos ao JAVS e atualizaremos a história quando soubermos mais. ®
.
