Le logiciel d’enregistrement des salles d’audience JAVS Viewer est aux prises avec des logiciels malveillants de chargement et est servi depuis le site du développeur depuis au moins le 2 avril, a averti un chercheur en menaces le mois dernier.
Après avoir analysé un programme d’installation signalé détecté dans l’environnement d’un client, les analystes des menaces de Rapid7 sont arrivés à une conclusion similaire.
Le malware caché dans le programme d’installation de JAVS Viewer
Selon Rapid7, le programme d’installation comporte un chargeur associé à la famille de logiciels malveillants GateDoor/Rustdoor, qui facilite l’accès à distance non autorisé, collecte des données sur l’ordinateur hôte et télécharge des charges utiles malveillantes supplémentaires lorsque cela est demandé.
L’installateur malveillant – Configuration de la visionneuse JAVS 8.3.7.250-1.exesigné par un certificat Authenticode délivré à « Vanguard Tech Limited », et téléchargé depuis le site officiel de JAVS le 5 mars – contient et exécute un binaire nommé fffmpeg.exe.
Ce binaire exécute des scripts PowerShell et télécharge des logiciels malveillants supplémentaires qui volent des informations sensibles (par exemple, les informations d’identification stockées dans les navigateurs).
“Rapid7 a déterminé que les utilisateurs sur lesquels JAVS Viewer v8.3.7 est installé courent un risque élevé et doivent prendre des mesures immédiates”, déclarent les analystes.
« Ré-imagerie complète des points finaux concernés et réinitialisation des [account] informations d’identification [and browser sessions] est essentiel pour garantir que les attaquants n’ont pas persisté via des portes dérobées ou des informations d’identification volées. Les utilisateurs doivent installer la dernière version de JAVS Viewer (8.3.8 ou supérieure) après avoir réimaginé les systèmes concernés.
Deux installateurs compromis trouvés
JAVS Viewer ouvre les fichiers multimédias et journaux créés par d’autres éléments de la suite logicielle JAVS, un logiciel spécialisé pour l’enregistrement audiovisuel dans les salles d’audience, les établissements pénitentiaires, les salles de conseil et de conférence.
Les analystes ont trouvé deux packages JAVS Viewer malveillants/installateurs compromis signés avec le certificat Vanguard. Le premier remonte à un téléchargement depuis le site officiel de JAVS, mais n’était pas présent lorsque les analystes l’ont recherché.
“On ne sait pas qui a supprimé le package malveillant de la page de téléchargement (c’est-à-dire le fournisseur ou l’auteur de la menace)”, ont-ils déclaré.
Le deuxième qu’ils ont trouvé quelques jours plus tard n’était pas lié, mais sur le site officiel du vendeur.
Les chercheurs de Rapid7 ont également découvert d’autres charges utiles malveillantes hébergées sur l’infrastructure C2 de l’acteur malveillant, dont l’une a ensuite été téléchargée sur le système du client concerné.
JAVS réagit
Après que Rapid7 ait fait part de ses conclusions à Justice AV Solutions, la société a enquêté et a déclaré avoir identifié « un problème de sécurité potentiel » avec une version 8.3.7 de son logiciel JAVS Viewer et avoir « identifié des tentatives de remplacement » de son logiciel Viewer 8.3.7. avec un fichier compromis.
« Nous avons extrait toutes les versions de Viewer 8.3.7 du site Web de JAVS, réinitialisé tous les mots de passe et mené un audit interne complet de tous les systèmes JAVS. Nous avons confirmé que tous les fichiers actuellement disponibles sur le site Web JAVS.com sont authentiques et exempts de logiciels malveillants. Nous avons en outre vérifié qu’aucun code source, certificat, système ou autre version logicielle de JAVS n’a été compromis lors de cet incident », a déclaré la société.
« Le fichier en question ne provient pas de JAVS ou de tout tiers associé à JAVS. Nous encourageons fortement tous les utilisateurs à vérifier que JAVS a signé numériquement tout logiciel JAVS qu’ils installent. Tous les fichiers trouvés signés par d’autres parties doivent être considérés comme suspects. Nous sommes en train de revoir notre processus de publication pour renforcer la certification des fichiers.
Ils ont également conseillé aux utilisateurs de vérifier manuellement la présence du fffmpeg.exe fichier malveillant et, s’ils le trouvent, de ré-imager le PC et de réinitialiser les informations d’identification.
« Si Viewer 8.3.7.250 est la version actuellement installée, mais qu’aucun fichier malveillant n’est trouvé, nous vous conseillons de désinstaller le logiciel Viewer et d’effectuer une analyse antivirus/malware complète. Veuillez réinitialiser tous les mots de passe utilisés sur le système concerné avant de passer à une version plus récente de Viewer 8 », ont-ils ajouté.
MISE À JOUR (23 mai 2024, 18 h 15 HE) :
Cet article a été modifié pour indiquer clairement que malgré certaines formulations ambiguës dans la déclaration de JAVS à Rapid7, un installateur de porte dérobée était présent sur le site Web de JAVS.
De plus, JAVS a travaillé avec Rapid7 et CISA tout au long du processus et il s’agissait d’une divulgation entièrement coordonnée.