Table des matières
- Logiciel de Vidéo des Tribunaux : Détournement et Menace
- Mesures Immédiates à Prendre
- Attaque au Logiciel de Vidéo des Tribunaux : Enquête et Découvertes
- Certificat Suspect et Scripts Malveillants
- Logiciel de Vidéo des Tribunaux : Activité Malveillante du fffmpeg.exe
- Scripts PowerShell Obscurcis
- Logiciel de Vidéo des Tribunaux : Problèmes de Code Source
- Certificat Frauduleux et Variantes Malveillantes
- VirusTotal et Autres Variantes
- Conclusion
Une faille critique, référencée sous CVE-2024-4978, a été découverte dans le logiciel JAVS Viewer v8.3.7. Ce programme est essentiel pour gérer les enregistrements numériques dans les milieux juridiques et gouvernementaux.
Logiciel de Vidéo des Tribunaux : Détournement et Menace
Les hackers ont compromis le programme d’installation de cette version. Cette intrusion permet aux cybercriminels de prendre le contrôle à distance des systèmes infectés, d’accéder à des informations sensibles et de maintenir une présence sur le réseau attaqué.
Mesures Immédiates à Prendre
Pour minimiser les risques, il est crucial que les utilisateurs réinitialisent leurs appareils touchés et changent toutes les informations d’identification. Après avoir rétabli une version propre du système, il est recommandé de mettre à jour vers JAVS Viewer v8.3.8 ou une version ultérieure.
Attaque au Logiciel de Vidéo des Tribunaux : Enquête et Découvertes
Une enquête sur un fichier malveillant nommé fffmpeg.exe dans le dossier d’installation du logiciel a révélé une attaque de la chaîne d’approvisionnement. Ce fichier provient d’un programme d’installation compromis, téléchargé depuis le site officiel de JAVS le 5 mars.
Certificat Suspect et Scripts Malveillants
Le programme d’installation compromis, JAVS Viewer Setup 8.3.7.250-1.exe, bénéficie d’une signature par un certificat inhabituel et contenait le fichier malveillant fffmpeg.exe. Ce fichier exécutait des scripts PowerShell encodés et déployait un malware de la famille GateDoor/Rustdoor.
Logiciel de Vidéo des Tribunaux : Activité Malveillante du fffmpeg.exe
L’analyse a montré que fffmpeg.exe se connecte à un serveur de commande et contrôle via des sockets Windows et des requêtes WinHTTP. Il transmet des informations comme le nom d’hôte, les détails du système d’exploitation et le nom d’utilisateur, et attend des commandes du serveur.
Scripts PowerShell Obscurcis
En outre, l’examen approfondi a révélé l’exécution de scripts PowerShell obscurcis, indiquant d’autres actions malveillantes. Ainsi, Rapid7 a analysé les exécutables fffmpeg.exe et chrome_installer.exe. Le premier désactive les mesures de sécurité et télécharge d’autres logiciels malveillants, tandis que le second essaie de voler les informations d’identification du navigateur.
Logiciel de Vidéo des Tribunaux : Problèmes de Code Source
Par ailleurs, il semble que le code source de main.exe, exécuté par chrome_installer.exe, ait des défauts empêchant son bon fonctionnement.
Certificat Frauduleux et Variantes Malveillantes
Le programme d’installation malveillant JAVS.Viewer8.Setup_8.3.7.250-1.exe contenait un binaire fffmpeg.exe avec une faute typographique et il a une signature d’un certificat frauduleux de “Vanguard Tech Limited” au lieu de “Justice AV Solutions Inc.”
VirusTotal et Autres Variantes
En outre, l’enquête sur VirusTotal a permis de découvrir une autre variante de l’installateur malveillant avec des hachages différents datant du 1er avril 2024. Ainsi, un fichier de débogage inclus dans la première variante suggère un oubli potentiel des attaquants.
Conclusion
En conclusion, les hackers ont compromis la page de téléchargement officielle de JAVS, remplaçant le programme par un programme malveillant. En plus, le malware prend le format de mise à jour pour des applications populaires comme Chrome, Firefox et OneDrive. Cette campagne a duré de février à mai 2024, avant que les attaquants ne retirent eux-mêmes le logiciel malveillant.
Enfin, pour plus d’articles sur la cybersécurité, visitez régulièrement GeekFrance.
