El sitio oficial de RVTools ha sido pirateado para servir a un instalador comprometido para la popular utilidad de informes de entorno VMware.<\/p>\n
“Robware.net y rvtools.com est\u00e1n actualmente fuera de l\u00ednea. Estamos trabajando r\u00e1pidamente para restaurar el servicio y apreciar su paciencia”, la compa\u00f1\u00eda dicho<\/a> En una declaraci\u00f3n publicada en su sitio web.<\/p>\n “Robware.net y RvTools.com son los \u00fanicos sitios web autorizados y compatibles para el software RVTools. No busque ni descarguen software RVTools de ning\u00fan otro sitio web o fuente”.<\/p>\n El desarrollo se produce despu\u00e9s del investigador de seguridad Aidan Leon revel\u00f3<\/a> que una versi\u00f3n infectada del instalador descargada desde el sitio web se estaba utilizando para marcar un dll malicioso<\/a> Eso result\u00f3 ser un cargador de malware conocido llamado Bumblebee.<\/p>\n Actualmente no se sabe cu\u00e1nto tiempo hab\u00eda estado fuera de l\u00ednea la versi\u00f3n troyanizada de RVTools y cu\u00e1ntos la hab\u00edan instalado antes de que el sitio fuera desconectado.<\/p>\n Mientras tanto, se recomienda a los usuarios para verificar el hash del instalador y revisar cualquier ejecuci\u00f3n de versi\u00f3n.dll desde directorios de usuario.<\/p>\n La divulgaci\u00f3n surge cuando ha salido a la luz que el software oficial suministrado con impresoras procoladas incluy\u00f3 una puerta trasera con sede en Delphi llamada Xred y un malware Clipper denominado Snipvex que es capaz de sustituir las direcciones de la billetera en el portapapeles con la de una direcci\u00f3n codificada.<\/p>\n Los detalles de la actividad maliciosa fueron Primero descubierto<\/a> por Cameron Coward, que est\u00e1 detr\u00e1s del Hobbyismo en serie del canal de YouTube.<\/p>\n Xred<\/a>que se cree que est\u00e1 activo desde al menos 2019, viene con caracter\u00edsticas para recopilar informaci\u00f3n del sistema, registrar las teclas de teclas, propagarse a trav\u00e9s de unidades USB conectadas y ejecutar comandos enviados desde un servidor controlado por el atacante para capturar capturas de pantalla, enumerar los sistemas de archivos y los directorios, descargar archivos y eliminar archivos del sistema.<\/p>\n “[SnipVex] Busca en el portapapeles el contenido que se asemeja a una direcci\u00f3n BTC y la reemplaza con la direcci\u00f3n del atacante, de modo que las transacciones de criptomonedas se desviar\u00e1n al atacante “, la investigadora de datos G Karsten Hahn, quien investig\u00f3 m\u00e1s a fondo el incidente, dicho<\/a>.<\/p>\n Pero en un giro interesante, el malware infecta los archivos .exe con la funcionalidad Clipper y utiliza una secuencia de marcador de infecci\u00f3n-0x0a 0x0b 0x0c-al final para evitar volver a infectar los archivos por segunda vez. El direcci\u00f3n de la billetera<\/a> En cuesti\u00f3n ha recibido 9.30857859 BTC (alrededor de $ 974,000) hasta la fecha.<\/p>\n Desde entonces, Procolor ha reconocido que los paquetes de software se cargaron en el servicio de alojamiento de archivos mega en octubre de 2024 a trav\u00e9s de unidades USB y que el malware puede haber sido introducido durante este proceso. Las descargas de software actualmente solo est\u00e1n disponibles para productos F13 Pro, VF13 Pro y V11 Pro.<\/p>\n “El servidor de comando y control del malware ha estado fuera de l\u00ednea desde febrero de 2024”, se\u00f1al\u00f3 Hahn. “Por lo tanto, no es posible que Xred haya establecido una conexi\u00f3n remota exitosa despu\u00e9s de esa fecha. El Snipvex del virus Clipanker que lo acompa\u00f1a sigue siendo una amenaza grave. Aunque las transacciones a la direcci\u00f3n BTC se detuvieron el 3 de marzo de 2024, la infecci\u00f3n por el archivo da\u00f1a los sistemas”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Sitio-oficial-de-RVTools-pirateado-para-entregar-malware-Bumblebee-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n