Hukuk ve devlet ortamlarındaki dijital kayıtları yönetmek için kritik bir bileşen olan JAVS Viewer v8.3.7’de bir güvenlik açığı (CVE-2024-4978) belirlendi.
Bu sürümün yükleyicisi arka kapılıdır ve saldırganların virüslü sistemlerin kontrolünü uzaktan ele geçirmesine olanak tanır, bu da hassas verilere erişim sağlayabilir ve potansiyel olarak ağda kalıcılık sağlayabilir.
Riski azaltmak için kullanıcıların etkilenen cihazların görüntüsünü derhal yeniden oluşturması ve ilgili tüm kimlik bilgilerini sıfırlaması gerekir.
Temiz bir sistem görüntüsü oluşturulduktan sonra JAVS Viewer v8.3.8 veya sonraki bir sürüme yükseltme yapılması önerilir.
C:\Program Files (x86)\JAVS\Viewer 8\ klasöründeki kötü amaçlı fffmpeg.exe ikili yürütmesine yönelik bir araştırma, bir tedarik zinciri saldırısı ortaya çıkardı.
Suçlunun, 5 Mart’ta resmi JAVS web sitesinden indirilen, güvenliği ihlal edilmiş bir JAVS Viewer yükleyicisine (JAVS Viewer Kurulumu 8.3.7.250-1.exe) kadar izi sürüldü.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Yükleyici beklenmeyen bir sertifikayla imzalanmış ve kötü amaçlı fffmpeg.exe dosyasını içeriyordu. Kodlanmış PowerShell komut dosyalarını çalıştırarak GateDoor/Rustdoor ailesindeki kötü amaçlı yazılım türevinden kurtuldu.
Bu programın Windows soketlerini ve WinHTTP isteklerini kullanarak bir komut ve kontrol sunucusuna bağlanması ve ana bilgisayar adı, işletim sistemi ayrıntıları ve kullanıcı adı gibi verileri iletmesi nedeniyle fffmpeg.exe’de kötü amaçlı etkinlik olduğu keşfedildi.
Kalıcı bir bağlantı kurduktan sonra program C2 sunucusundan komutlar bekler.
Daha fazla araştırma, gizlenmiş PowerShell komut dosyalarının yürütüldüğünü ortaya çıkardı ve bu da ek kötü amaçlı eylemlere işaret etti.
Rapid7, fffmpeg.exe ve chrome_installer.exe adlı iki kötü amaçlı yürütülebilir dosyayı analiz etti. Ffmpeg.exe, güvenlik önlemlerini devre dışı bırakmaya ve ek kötü amaçlı yazılım indirmeye çalışan, gizlenmiş PowerShell komut dosyalarını yürütür.
Chrome_installer.exe geçici dosyalar oluşturur ve tarayıcı kimlik bilgilerini çalmak için derlenmiş bir Python komut dosyasını (main.exe) çalıştırmaya çalışır.
Ancak analizler, kaynak kodundaki bir sorunun main.exe’nin düzgün çalışmasını engelleyebileceğini öne sürüyor.
Kötü amaçlı JAVS.Viewer8.Setup_8.3.7.250-1.exe yükleyicisi, beklenmedik bir kullanıcı tarafından imzalanmış yükleyicinin kendisi ile birlikte yazım hatası içeren (“ff” yerine “fff”) şüpheli bir fffmpeg.exe ikili dosyasını ortaya çıkardı “Vanguard Tech Limited”e ait sertifika (meşru “Justice AV Solutions Inc.” yerine).
VirusTotal üzerinde yapılan inceleme, 1 Nisan 2024’e kadar uzanan, farklı karmalara sahip başka bir kötü amaçlı yükleyici çeşidi ve damlalık tespit etti.
İlginç bir şekilde, ilk yükleyici varyantında yer alan bir hata ayıklama dosyası (Dll2.dll), temizlenmemiş bir derleme yolu içeriyordu ve bu da saldırganların olası bir gözetimi işaret ediyordu.
Saldırganlar, meşru bir yazılım satıcısı olan JAVS’ın resmi indirme sayfasını ele geçirdi ve meşru JAVS Viewer yükleyicisini, sahte bir sertifikayla imzalanmış kötü amaçlı bir yükleyiciyle değiştirdi.
Kötü amaçlı yazılım düşürücü, popüler uygulamalara (Chrome, Firefox ve OneDrive) yönelik bir yazılım güncellemesi olarak gizlendi.
Saldırı kampanyası Şubat ayından Mayıs 2024’e kadar birkaç ay sürdü ve kötü amaçlı yazılım sonunda saldırganlar tarafından kaldırıldı.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers