El sitio oficial de RVTools ha sido pirateado para servir a un instalador comprometido para la popular utilidad de informes de entorno VMware.
“Robware.net y rvtools.com están actualmente fuera de confín. Estamos trabajando rápidamente para restaurar el servicio y apreciar su paciencia”, dijo la compañía en un comunicado publicado en su sitio web.
“Robware.net y RvTools.com son los únicos sitios web autorizados y compatibles para el software RVTools. No busque ni descarguen software RVTools de ningún otro sitio web o fuente”.
El incremento se produce luego de que el investigador de seguridad Aidan Leon reveló que una interpretación infectada del instalador descargada desde el sitio web se estaba utilizando para dejar de revelar una DLL maliciosa que resultó ser un conocido cargador de malware llamado Bumblebee.
Actualmente no se sabe cuánto tiempo había estado fuera de confín la interpretación troyanizada de RVTools y cuántos la habían instalado antaño de que el sitio fuera desconectado.
Mientras tanto, se recomienda a los usuarios para compulsar el hash del instalador y revisar cualquier ejecución de interpretación.dll desde directorios de favorecido.
La divulgación surge cuando ha nacido a la luz que el software oficial suministrado con impresoras procoladas incluyó una puerta trasera con sede en Delphi convocatoria Xred y un malware Clipper denominado Snipvex que es capaz de sustituir las direcciones de la billetera en el portapapeles con la de una dirección codificada.
Cameron Coward descubrió por primera vez los detalles de la actividad maliciosa, que está detrás del hobbyismo en serie del canal de YouTube.
Xred, que se cree que está activo desde al menos 2019, viene con características para compilar información del sistema, registrar las pulsaciones de teclas, propagarse a través de unidades USB conectadas y ejecutar comandos enviados desde un servidor controlado por el atacante para capturar capturas de pantalla, sistemas de archivos y directorios de archivos, descargar archivos y delegar archivos del sistema.
“(Snipvex) sondeo en el portapapeles el contenido que se asemeja a una dirección BTC y la reemplaza con la dirección del atacante, de modo que las transacciones de criptomonedas se desviarán al atacante”, dijo la investigadora de datos K Karsten Hahn, quien investigó el incidente.
Pero en un molinete interesante, el malware infecta los archivos .exe con la funcionalidad Clipper y utiliza una secuencia de señalador de infección-0x0a 0x0b 0x0c-al final para evitar retornar a infectar los archivos por segunda vez. La dirección de la billetera en cuestión ha recibido 9.30857859 BTC (aproximadamente de $ 974,000) hasta la época.
Desde entonces, Procolor ha agradecido que los paquetes de software se cargaron en el servicio de alojamiento de archivos mega en octubre de 2024 a través de unidades USB y que el malware puede acaecer sido introducido durante este proceso. Las descargas de software actualmente solo están disponibles para productos F13 Pro, VF13 Pro y V11 Pro.
“El servidor de comando y control del malware ha estado fuera de confín desde febrero de 2024”, señaló Hahn. “Por lo tanto, no es posible que Xred haya establecido una conexión remota exitosa luego de esa época. El Snipvex del virus Clipanker que lo acompaña sigue siendo una amenaza peligroso. Aunque las transacciones a la dirección BTC se detuvieron el 3 de marzo de 2024, la infección por el archivo daña los sistemas”.
