\n<\/aside>\n<\/p>\n
Un fabricante de software que presta servicios en m\u00e1s de 10.000 tribunales de todo el mundo aloj\u00f3 una actualizaci\u00f3n de aplicaci\u00f3n que conten\u00eda una puerta trasera oculta que manten\u00eda una comunicaci\u00f3n persistente con un sitio web malicioso, informaron investigadores el jueves, en el \u00faltimo episodio de un ataque a la cadena de suministro.<\/p>\n
El software, conocido como JAVS Viewer 8, es un componente de JAVS Suite 8, un paquete de aplicaciones que los tribunales utilizan para grabar, reproducir y gestionar audio y v\u00eddeo de los procedimientos. Su fabricante, Justice AV Solutions, con sede en Louisville, Kentucky, dice que sus productos se utilizan en m\u00e1s de 10.000 salas de tribunales en todo Estados Unidos y otros 11 pa\u00edses. La empresa existe desde hace 35 a\u00f1os.<\/p>\n
Usuarios de JAVS Viewer en alto riesgo<\/h2>\n Investigadores de la firma de seguridad Rapid7 informaron que una versi\u00f3n de JAVS Viewer 8 disponible para descargar en javs.com conten\u00eda una puerta trasera que le daba a un actor de amenazas desconocido acceso persistente a los dispositivos infectados. La descarga maliciosa, colocada dentro de un archivo ejecutable que instala JAVS Viewer versi\u00f3n 8.3.7, estuvo disponible a m\u00e1s tardar el 1 de abril, cuando una publicaci\u00f3n en X (anteriormente Twitter) lo inform\u00f3. No est\u00e1 claro cu\u00e1ndo se elimin\u00f3 la versi\u00f3n con puerta trasera de la p\u00e1gina de descarga de la empresa. Los representantes de JAVS no respondieron de inmediato a las preguntas enviadas por correo electr\u00f3nico.<\/p>\n
\u00abLos usuarios que tienen instalada la versi\u00f3n 8.3.7 del ejecutable JAVS Viewer corren un alto riesgo y deben tomar medidas inmediatas\u00bb, investigadores de Rapid7, Ipek Solak, Thomas Elkins, Evan McCann, Matthew Smith, Jake McMahon, Tyler McGraw, Ryan Emmons, Stephen Fewer. , y escribi\u00f3 John Fenninger. \u00abEsta versi\u00f3n contiene un instalador con puerta trasera que permite a los atacantes obtener control total de los sistemas afectados\u00bb.<\/p>\n
El archivo del instalador se titul\u00f3 JAVS Viewer Setup 8.3.7.250-1.exe<\/code>. Cuando se ejecut\u00f3, copi\u00f3 el archivo binario. fffmpeg.exe<\/code> a la ruta del archivo C:Program Files (x86)JAVSViewer 8<\/code>. Para evitar las advertencias de seguridad, el instalador fue firmado digitalmente, pero con una firma emitida a una entidad llamada \u00abVanguard Tech Limited\u00bb en lugar de \u00abJustice AV Solutions Inc.\u00bb, la entidad firmante utilizada para autenticar el software JAVS leg\u00edtimo.<\/p>\nfffmpeg.exe<\/code>, a su vez, utiliz\u00f3 Windows Sockets y WinHTTP para establecer comunicaciones con un servidor de comando y control. Una vez conectado exitosamente, fffmpeg.exe<\/code> envi\u00f3 al servidor contrase\u00f1as recopiladas de los navegadores y datos sobre el host comprometido, incluido el nombre del host, los detalles del sistema operativo, la arquitectura del procesador, el directorio de trabajo del programa y el nombre de usuario.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nLos investigadores dijeron fffmpeg.exe<\/code> Tambi\u00e9n descargu\u00e9 el archivo chrome_installer.exe<\/code> desde la direcci\u00f3n IP 45.120.177.178. chrome_installer.exe<\/code> Pas\u00f3 a ejecutar un binario y varios scripts de Python que se encargaban de robar las contrase\u00f1as guardadas en los navegadores. fffmpeg.exe<\/code> est\u00e1 asociado con una familia de malware conocida llamada GateDoor\/Rustdoor. El archivo exe ya fue marcado por 30 motores de protecci\u00f3n de endpoints.<\/p>\n\nAgrandar
\/<\/span> Una captura de pantalla de VirusTotal que muestra detecciones de 30 motores de protecci\u00f3n de endpoints.<\/div>\nr\u00e1pido7<\/p>\n<\/figcaption><\/figure>\n
El n\u00famero de detecciones hab\u00eda aumentado a 38 en el momento en que se public\u00f3 esta publicaci\u00f3n.<\/p>\n
Los investigadores advirtieron que el proceso de desinfecci\u00f3n de dispositivos infectados requerir\u00e1 cuidado. Ellos escribieron:<\/p>\n
\nPara solucionar este problema, los usuarios afectados deben:<\/p>\n
\nVuelva a crear la imagen de cualquier punto final donde se instal\u00f3 JAVS Viewer 8.3.7. Simplemente desinstalar el software no es suficiente, ya que los atacantes pueden haber implantado puertas traseras o malware adicionales. Volver a crear im\u00e1genes proporciona un borr\u00f3n y cuenta nueva.<\/li>\n Restablezca las credenciales de cualquier cuenta que haya iniciado sesi\u00f3n en los puntos finales afectados. Esto incluye cuentas locales en el propio terminal, as\u00ed como cualquier cuenta remota a la que se haya accedido durante el per\u00edodo en que se instal\u00f3 JAVS Viewer 8.3.7. Es posible que los atacantes hayan robado credenciales de sistemas comprometidos.<\/li>\n Restablezca las credenciales utilizadas en los navegadores web en los puntos finales afectados. Es posible que las sesiones del navegador hayan sido secuestradas para robar cookies, contrase\u00f1as almacenadas u otra informaci\u00f3n confidencial.<\/li>\n Instale la \u00faltima versi\u00f3n de JAVS Viewer (8.3.8 o superior) despu\u00e9s de volver a crear im\u00e1genes de los sistemas afectados. La nueva versi\u00f3n no contiene la puerta trasera presente en 8.3.7.<\/li>\n<\/ul>\nVolver a crear im\u00e1genes por completo de los puntos finales afectados y restablecer las credenciales asociadas es fundamental para garantizar que los atacantes no hayan persistido a trav\u00e9s de puertas traseras o credenciales robadas.<\/b> Todas las organizaciones que ejecutan JAVS Viewer 8.3.7 deben tomar estas medidas de inmediato para solucionar el problema.<\/p>\n<\/blockquote>\n
La publicaci\u00f3n de Rapid7 inclu\u00eda una declaraci\u00f3n de JAVS que confirmaba que el instalador de la versi\u00f3n 8.3.7 del visor JAVS era malicioso.<\/p>\n
\u00abRetiramos todas las versiones de Viewer 8.3.7 del sitio web de JAVS, restablecimos todas las contrase\u00f1as y realizamos una auditor\u00eda interna completa de todos los sistemas JAVS\u00bb, se lee en el comunicado. \u201cConfirmamos que todos los archivos actualmente disponibles en el sitio web JAVS.com son genuinos y est\u00e1n libres de malware. Adem\u00e1s, verificamos que ning\u00fan c\u00f3digo fuente, certificados, sistemas u otras versiones de software de JAVS se vieron comprometidos en este incidente\u201d.<\/p>\n
El comunicado no explica c\u00f3mo el instalador estuvo disponible para su descarga en su sitio. Tampoco dijo si la empresa contrat\u00f3 a una empresa externa para investigar.<\/p>\n
El incidente es el \u00faltimo ejemplo de un ataque a la cadena de suministro, una t\u00e9cnica que altera un servicio o software leg\u00edtimo con el objetivo de infectar a todos los usuarios intermedios. Este tipo de ataques generalmente se llevan a cabo pirateando primero al proveedor del servicio o software. No existe una manera segura de evitar ser v\u00edctima de ataques a la cadena de suministro, pero una medida potencialmente \u00fatil es examinar un archivo usando VirusTotal antes de ejecutarlo. Ese consejo habr\u00eda sido de gran utilidad para los usuarios de JAVS.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"JAVS Un fabricante de software que presta servicios en m\u00e1s de 10.000 tribunales de todo el mundo aloj\u00f3 una actualizaci\u00f3n de aplicaci\u00f3n que conten\u00eda una puerta trasera oculta que manten\u00eda…<\/p>\n","protected":false},"author":1,"featured_media":1142534,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[71379,9770,8,1146,5472,6877,26,15863,915,73,6366],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1142533"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=1142533"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1142533\/revisions"}],"predecessor-version":[{"id":1142535,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1142533\/revisions\/1142535"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/1142534"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=1142533"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=1142533"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=1142533"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}