Il sito ufficiale di RVTOOLS è stato violato per servire un installatore compromesso per la popolare utilità di reporting dell’ambiente VMware.
“Robware.internet e rvtools.com sono attualmente offline. Stiamo lavorando rapidamente per ripristinare il servizio e apprezzare la tua pazienza”, la società ” disse In una dichiarazione pubblicata sul suo sito internet.
“Robware.internet e rvtools.com sono gli unici siti Net autorizzati e supportati per il software program RVTOOLS. Non cercare o scaricare software program RVTOOLS pretentato da altri siti Net o fonti.”
Lo sviluppo arriva dopo il ricercatore della sicurezza Aidan Leon rivelato che una versione infetta del programma di installazione scaricato dal sito Net veniva utilizzata per scendere a DLL dannoso Ciò si è rivelato essere un noto caricatore di malware chiamato Bumblebee.
Attualmente non è noto da quanto tempo la versione trojanizzata di RVTOOLS period disponibile per il obtain e quanti l’avevano installata prima che il sito fosse scattato offline.
Nel frattempo, gli utenti sono consigliati per verificare l’hash dell’installatore e rivedere qualsiasi esecuzione di versione.dll dalle listing utente.
La divulgazione arriva quando è venuta alla luce che il software program ufficiale fornito con stampanti proclolorate includeva un backdoor a base di Delphi chiamato Xred e un malware Clipper Snotbed Snipvex che è in grado di sostituire gli indirizzi del portafoglio negli appunti con quello di un indirizzo codificato.
I dettagli dell’attività dannosa erano scoperto per la prima volta Di Cameron Coward, che è dietro il canale di YouTube Hobbyismo seriale.
Xredritenuto attivo dal momento del 2019, viene fornito con funzionalità per raccogliere informazioni di sistema, registrare tasti, propagare tramite unità USB connesse ed eseguire comandi inviati da un server controllato per gli utenti per acquisire schermate, enumerano file e listing, scarica file ed elimina i file dal sistema.
“(Snipvex) cerca negli appunti un contenuto che ricorda un indirizzo BTC e lo sostituisce con l’indirizzo dell’attaccante, in modo story che le transazioni di criptovaluta saranno deviate all’attaccante”, il ricercatore di dati G Karsten Hahn, che ha ulteriormente studiato l’incidente, disse.
Ma in una svolta interessante, il malware infetta i file .exe con la funzionalità Clipper e utilizza una sequenza di marcatori di infezione-0x0a 0x0b 0x0c-alla high-quality per evitare di rientrare in modo di rievocare i file una seconda volta. IL Indirizzo del portafoglio In questione ha ricevuto 9.30857859 BTC (circa $ 974.000) fino advert oggi.
Da allora Procolore ha riconosciuto che i pacchetti software program sono stati caricati nel servizio di internet hosting di file mega nell’ottobre 2024 tramite unità USB e che il malware potrebbe essere stato introdotto durante questo processo. I obtain di software program sono attualmente disponibili solo per i prodotti F13 Professional, VF13 Professional e V11.
“Il server di comando e controllo del malware è stato offline dal febbraio 2024”, ha osservato Hahn. “Quindi non è possibile che Xred abbia stabilito una connessione remota di successo dopo quella information. Il virus clipbanker di accompagnamento Snipvex sia ancora una grave minaccia. Sebbene le transazioni all’indirizzo BTC si siano fermate il 3 marzo 2024, l’infezione del file ha danneggiato i sistemi.”
