Investigadores de seguridad han descubierto que una popular herramienta de grabación de vídeo judicial era vulnerable a la intromisión de los actores de amenazas.
Se trata del software Justice AV Solutions (JAVS), que utilizan más de 10.000 juzgados, oficinas jurídicas, centros penitenciarios y agencias gubernamentales de todo el mundo.
Los atacantes habrían bloqueado el instalador del programa con malware pudiendo apoderarse de los sistemas comprometidos que lo instalaban.
"Mediante la monitorización continua y la colaboración con las autoridades cibernéticas, identificamos intentos de reemplazar nuestro software Viewer 8.3.7 con un archivo comprometido", han comentado desde JAVS.
Tras el hallazgo JAVS eliminó la versión comprometida de su página web oficial, asegurando que el software troyanizado que contiene un binario malicioso fffmpeg.exe no tuvo su origen en la empresa ni en ningún tercero asociado con la compañía.
"Confirmamos que todos los archivos que están actualmente disponible en la web JAVS.com son genuinos y están libres de malware", han señalado. "Además, verificamos que ningún código fuente, certificados, sistemas u otras versiones de software de JAVS se vieron comprometidos en este incidente".
Asimismo, la compañía de software asegura haber llevado a cabo una auditoría completa de todos los sistemas y restablecido todas las contraseñas para garantizar que, en caso de robo, no puedan usarse para futuros intentos de violación.
No basta con desinstalarlo
La empresa de ciberseguridad Rapid7 investigó este incidente en la cadena de suministro (ahora rastreado como CVE-2024-4978 ) y descubrió que el grupo de inteligencia de amenazas S2W Talon detectó por primera vez el instalador troyanizado JAVS a principios de abril y lo vinculó con el malware Rustdoor/GateDoor, según recoge Bleeping Computer.
Según dicha firma, el instalador con puerta trasera (JAVS.Viewer8.Setup_8.3.7.250-1.exe), clasificado por muchos proveedores de seguridad como un gotero de malware, se descargó de lal web oficial de JAVS.
Rapid7 advierte de que "simplemente desinstalar el software no es suficiente, ya que los atacantes pueden haber implantado puertas traseras o malware adicionales. La nueva imagen proporciona un borrón y cuenta nueva", ha advertido la compañía.
"Es fundamental volver a crear imágenes de los puntos finales afectados y restablecer las credenciales asociadas para garantizar que los atacantes no hayan persistido a través de puertas traseras o credenciales robadas", añade.