Bir tehdit araştırmacısı geçen ay, meşru kayıt yazılımı JAVS Viewer’ın yükleyici kötü amaçlı yazılımlarla yüklü olduğu ve en az 2 Nisan’dan bu yana geliştiricinin sitesinden hizmet verdiği konusunda uyardı.
Rapid7 tehdit analistleri, bir müşterinin ortamında tespit edilen işaretli bir yükleyiciyi analiz ettikten sonra benzer bir sonuca ulaştı, ancak meşru yazılımı geliştiren şirket olan Justice AV Solutions’ın (JAVS) bulgularına itiraz ettiğini söylüyorlar.
JAVS Viewer yükleyicisinde saklanan kötü amaçlı yazılım
Rapid7’ye göre kötü amaçlı yazılım, yetkisiz uzaktan erişimi kolaylaştıran, ana bilgisayar hakkında veri toplayan ve talimat verildiğinde ek kötü amaçlı yükler indiren, GateDoor/Rustdoor kötü amaçlı yazılım ailesiyle ilişkili bir yükleyicidir.
İndirilen kötü amaçlı yükleyici – JAVS Görüntüleyici Kurulumu 8.3.7.250-1.exe“Vanguard Tech Limited” adına verilen bir Authenticode sertifikasıyla imzalanan ve 5 Mart’ta resmi JAVS sitesinden indirilen , adlı bir ikili dosyayı içerir ve çalıştırır. fffmpeg.exe.
Bu ikili PowerShell komut dosyalarını çalıştırır ve hassas bilgileri (örneğin, tarayıcılarda saklanan kimlik bilgileri) çalan ek kötü amaçlı yazılımlar indirir.
Analistler, “Rapid7, JAVS Viewer v8.3.7 yüklü kullanıcıların yüksek risk altında olduğunu ve derhal harekete geçmesi gerektiğini belirledi” dedi.
“Etkilenen uç noktaların tamamen yeniden görüntülenmesi ve ilişkili [account] kimlik bilgileri [and browser sessions] Saldırganların arka kapılara veya çalınan kimlik bilgilerine devam etmemesini sağlamak için kritik öneme sahiptir. Kullanıcılar, etkilenen sistemleri yeniden görüntüledikten sonra JAVS Viewer’ın en son sürümünü (8.3.8 veya üstü) yüklemelidir.”
Güvenliği ihlal edilmiş iki yükleyici bulundu
JAVS Viewer, mahkeme salonu ortamlarında, hapishane tesislerinde, konseyde ve konferans salonlarında görsel-işitsel kayıt için özel bir yazılım olan JAVS yazılım paketinin diğer parçaları tarafından oluşturulan medya ve günlük dosyalarını açar.
Analistler, Vanguard sertifikasıyla imzalanmış iki kötü amaçlı JAVS Viewer paketi / güvenliği ihlal edilmiş yükleyici buldular. İlkinin izini resmi JAVS sitesinden yapılan bir indirmeye kadar uzanıyordu, ancak analistler onu aradığında mevcut değildi.
“Kötü amaçlı paketi indirme sayfasından kimin kaldırdığı bilinmiyor (yani satıcı veya tehdit aktörü)” dediler.
Birkaç gün sonra buldukları ikincisinin bağlantısı kesilmişti ancak satıcının resmi sitesinde yer alıyordu.
Rapid7 araştırmacıları ayrıca tehdit aktörünün C2 altyapısında barındırılan ek kötü amaçlı yükleri de buldu ve bunlardan biri daha sonra etkilenen müşterinin sistemine indirildi.
Bulgularını Justice AV Solutions’a bildirdikten sonra şirket, Viewer 8.3.7 yazılımını ele geçirilmiş bir dosyayla değiştirme girişimlerini tespit etmelerine rağmen araştırmacılar tarafından analiz edilen dosyanın “JAVS’den veya JAVS ile ilişkili herhangi bir üçüncü taraftan kaynaklanmadığını” söyledi. .” Yine de “dosya sertifikasyonunu güçlendirmek için” yayın süreçlerini yeniden gözden geçiriyorlar.
“JAVS servis teknisyenleri genellikle söz konusu Viewer yazılımını yükler. Hizmet ekibimizin tüm üyeleri, Viewer yazılımının potansiyel olarak etkilenen sistemlerdeki kurulumlarını doğruluyor, özellikle söz konusu kötü amaçlı dosyanın varlığını kontrol ediyor. fffmpeg.exe üç ‘f’ ile. Not: JAVS dosyası ffmpeg.exe iki ‘f’ ile meşru bir dosyadır” dediler.
Ayrıca kullanıcılara kötü amaçlı dosyayı manuel olarak kontrol etmelerini ve bulurlarsa bilgisayarın görüntüsünü yeniden oluşturmalarını ve kullanıcılar tarafından kullanılan kimlik bilgilerini sıfırlamalarını tavsiye ettiler.
“Tüm kullanıcıların, yükledikleri herhangi bir JAVS yazılımını JAVS’ın dijital olarak imzaladığını doğrulamalarını şiddetle tavsiye ediyoruz. Başka taraflarca imzalanmış bulunan dosyalar şüpheli olarak değerlendirilmelidir” diye ekledi.