Los atacantes han introducido una puerta trasera en el instalador del software de grabación de vídeo de la sala de audiencias de Justice AV Solutions (JAVS), ampliamente utilizado, permitiéndoles hacerse cargo de los sistemas comprometidos.
Impacto en el Software JAVS
La compañía detrás de este software, conocida también como JAVS, afirma que su herramienta de grabación digital cuenta con más de 10,000 instalaciones en salas de tribunales, oficinas legales, instalaciones correccionales y agencias gubernamentales en todo el mundo. Tras descubrir la brecha de seguridad, JAVS eliminó la versión comprometida de su sitio web oficial, destacando que el software troyanizado, que contenía un binario malicioso fffmpeg.exe, «no se originó en JAVS ni en ningún tercero asociado con JAVS».
Medidas de Seguridad Implementadas por JAVS
JAVS realizó una auditoría completa de sus sistemas y restableció todas las contraseñas para prevenir futuros intentos de violación. «A través del monitoreo continuo y la colaboración con las autoridades cibernéticas, identificamos intentos de reemplazar nuestro software Viewer 8.3.7 con un archivo comprometido», declaró la compañía. Confirmaron que todos los archivos actualmente disponibles en su sitio web son genuinos y libres de malware. Además, aseguraron que ningún código fuente de JAVS, certificados, sistemas u otras versiones de software se vieron comprometidos en este incidente.
Investigación de Rapid7 y Consecuencias del Incidente
La empresa de ciberseguridad Rapid7 investigó este incidente de la cadena de suministro, ahora rastreado como CVE-2024-4978, descubriendo que el grupo de inteligencia de amenazas S2W Talon detectó el instalador troyanizado de JAVS a principios de abril, vinculándolo al malware Rustdoor/GateDoor. Rapid7 informó que el malware envía información del sistema a su servidor de comando y control (C2) y ejecuta scripts de PowerShell ofuscados para deshabilitar el seguimiento de eventos de Windows (ETW) y omitir la interfaz de análisis antimalware (AMSI). Posteriormente, descarga una carga útil adicional que recopila credenciales almacenadas en los navegadores web del sistema.
Recomendaciones para Usuarios de JAVS
El instalador de puerta trasera (JAVS.Viewer8.Setup_8.3.7.250-1.exe), clasificado por muchos proveedores de seguridad como un dropper de malware, fue descargado del sitio web oficial de JAVS. Rapid7 recomienda a los clientes de JAVS que recreen la imagen de todos los puntos finales donde se implementó el instalador troyanizado y restablezcan todas las credenciales utilizadas para iniciar sesión en estos sistemas. También deben actualizar el software JAVS Viewer a la versión 8.3.9 o superior para garantizar la seguridad.
«Simplemente desinstalar el software no es suficiente, ya que los atacantes pueden haber implantado puertas traseras adicionales o malware. La reimagen proporciona un borrón y cuenta nueva», advirtió la compañía. Recrear una imagen completa de los puntos finales afectados y restablecer las credenciales asociadas es fundamental para garantizar que los atacantes no persistan a través de puertas traseras o credenciales robadas.
Incidentes Similares en la Industria
En marzo del año pasado, el fabricante de software de videoconferencia 3CX reveló que su cliente de escritorio basado en Electron, 3CXDesktopApp, también fue troyanizado en un ataque similar por un grupo de piratas informáticos de Corea del Norte, UNC4736, para distribuir malware. Durante ese ataque, se utilizó una versión maliciosa de una DLL ffmpeg. Hace cuatro años, el grupo de hackers ruso APT29 violó los sistemas internos de SolarWinds e infiltró múltiples agencias gubernamentales de EE. UU. inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion.
Un portavoz de JAVS no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto para obtener más información sobre la violación y cuántos clientes podrían haber sido afectados.
