Uno de los métodos más usados por los ciberdelincuentes para obtener benficios pasa por el uso de programas maliciosos en todo tipo de sistemas. En esta línea una de los últimos softwares infectados por malware es Justice AV Solutions (JAVS). JAVS es un proveedor  de soluciones de software para más de 10.000 salas de tribunales en Estados Unidos y de todo el mundo. Este proveedor se ha visto gravemente afectado por un ciberataque de la cadena de suministro. Este ataque se produjo por la inserción de un malware de robo de contraseñas dentro de su software de grabación, utilizado ampliamente en entornos judiciales y corporativos.

El problema fue descubierto en la versión 8.3.7 del programa JAVS Viewer, parte de la suite JAVS Suite 8. Este software está diseñado para gestionar y visualizar grabaciones digitales de reuniones importantes en tribunales y ambientes de negocios. Según informes de Rapid7, una firma de seguridad cibernética, esta versión del software contenía un backdoor (puerta trasera) que estaba alojado en los servidores oficiales de JAVS, lo que indicaba que la infección provenía de la propia fuente de distribución del software.

¿Cómo funciona el malware?

Una vez instalado en el sistema, el JAVS Viewer se conectaba a servidores de comando y control remotos, esperando instrucciones adicionales. El malware, identificado como parte de la familia GateDoor/Rustdoor, estaba diseñado para robar información sensible, incluyendo detalles del sistema operativo, contraseñas almacenadas en navegadores, y otros datos críticos. Además, el malware estaba firmado digitalmente, lo que inicialmente impedía que los sistemas de seguridad lo detectaran como una amenaza.

Resolución de incidente

JAVS ha reconocido que se ha visto afectada por este malware con un comunicado en su sitio web y ha asegurado que ha sido resuelto mediante la publicación de una nueva versión del programa JAVS Viewer. Sin embargo, los analistas de Rapid7 advierten que las consecuencias del incidente pueden ser mas bien a largo plazo, incluyendo la aparicion de mas sistemas comprometidos y acceso no autorizado.

Desde JAVS aconsejan a todos los usuarios de la versión afectada del software que formateen completamente cualquier sistema final donde se haya utilizado el programa, ya que simplemente desinstalar o actualizar el software no es suficiente para eliminar cualquier posible amenaza. Además, se deben restablecer las credenciales de acceso y las contraseñas de las cuentas del sistema y los navegadores web.

Ataque de la cadena de suministro

Este incidente destaca los riesgos asociados con los ataques a la cadena de suministro, que están diseñados para infiltrarse en un solo componente del proceso de fabricación o distribución de un producto de software.

Una vez que la cadena de suministro está comprometida, es fácil comprometer tambien informacion sobre los usuarios y clientes que trabajan con la empresa afectada. En este caso, el hecho de que el malware estuviera alojado en los servidores de JAVS plantea serias preguntas sobre la seguridad de los procesos de desarrollo y distribución de software de la compañía.

Ciberataque de «puerta trasera»

Un ciberataque de puerta trasera, también conocido como backdoor attack, es una estrategia de ciberseguridad mediante la cual un atacante encuentra o instala una vulnerabilidad en un sistema para obtener acceso no autorizado en el futuro. Esta puerta trasera permite al atacante eludir los procedimientos normales de autenticación y seguridad para acceder al sistema, red o base de datos de manera encubierta.

Una de las puertas traseras más comunes es mediante el software malicioso que se instala en un dispositivo durante un ataque inicial. Este software puede ser introducido en aplicaciones legítimas que, al ser descargadas e instaladas por usuarios desprevenidos, activan la puerta trasera. También, las puertas traseras pueden ser implementadas deliberadamente por desarrolladores malintencionados dentro del código de un programa.

Una vez que una puerta trasera está establecida, el atacante puede acceder al sistema afectado en cualquier momento, extraer datos, distribuir malware, espiar a los usuarios, o incluso tomar control total del sistema infectado. Este acceso puede ser utilizado para llevar a cabo actividades maliciosas adicionales, como robo de identidad, espionaje industrial, sabotaje, o propagación de ataques a otros sistemas conectados.

Las puertas traseras representan una amenaza grave debido a su capacidad para permanecer ocultas durante largos períodos sin ser detectadas.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre