El sitio oficial de RVTools ha sido pirateado para servir a un instalador comprometido para la popular utilidad de informes de entorno VMware.
“Robware.net y rvtools.com están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y apreciar su paciencia”, la compañía dicho En una declaración publicada en su sitio web.
“Robware.net y RvTools.com son los únicos sitios web autorizados y compatibles para el software RVTools. No busque ni descarguen software RVTools de ningún otro sitio web o fuente”.
El desarrollo se produce después del investigador de seguridad Aidan Leon reveló que una versión infectada del instalador descargada desde el sitio web se estaba utilizando para marcar un dll malicioso Eso resultó ser un cargador de malware conocido llamado Bumblebee.
Actualmente no se sabe cuánto tiempo había estado fuera de línea la versión troyanizada de RVTools y cuántos la habían instalado antes de que el sitio fuera desconectado.
Mientras tanto, se recomienda a los usuarios para verificar el hash del instalador y revisar cualquier ejecución de versión.dll desde directorios de usuario.
La divulgación surge cuando ha salido a la luz que el software oficial suministrado con impresoras procoladas incluyó una puerta trasera con sede en Delphi llamada Xred y un malware Clipper denominado Snipvex que es capaz de sustituir las direcciones de la billetera en el portapapeles con la de una dirección codificada.
Los detalles de la actividad maliciosa fueron Primero descubierto por Cameron Coward, que está detrás del Hobbyismo en serie del canal de YouTube.
Xredque se cree que está activo desde al menos 2019, viene con características para recopilar información del sistema, registrar las teclas de teclas, propagarse a través de unidades USB conectadas y ejecutar comandos enviados desde un servidor controlado por el atacante para capturar capturas de pantalla, enumerar los sistemas de archivos y los directorios, descargar archivos y eliminar archivos del sistema.
“[SnipVex] Busca en el portapapeles el contenido que se asemeja a una dirección BTC y la reemplaza con la dirección del atacante, de modo que las transacciones de criptomonedas se desviarán al atacante “, la investigadora de datos G Karsten Hahn, quien investigó más a fondo el incidente, dicho.
Pero en un giro interesante, el malware infecta los archivos .exe con la funcionalidad Clipper y utiliza una secuencia de marcador de infección-0x0a 0x0b 0x0c-al final para evitar volver a infectar los archivos por segunda vez. El dirección de la billetera En cuestión ha recibido 9.30857859 BTC (alrededor de $ 974,000) hasta la fecha.
Desde entonces, Procolor ha reconocido que los paquetes de software se cargaron en el servicio de alojamiento de archivos mega en octubre de 2024 a través de unidades USB y que el malware puede haber sido introducido durante este proceso. Las descargas de software actualmente solo están disponibles para productos F13 Pro, VF13 Pro y V11 Pro.
“El servidor de comando y control del malware ha estado fuera de línea desde febrero de 2024”, señaló Hahn. “Por lo tanto, no es posible que Xred haya establecido una conexión remota exitosa después de esa fecha. El Snipvex del virus Clipanker que lo acompaña sigue siendo una amenaza grave. Aunque las transacciones a la dirección BTC se detuvieron el 3 de marzo de 2024, la infección por el archivo daña los sistemas”.
About the Author
