El sitio oficial de RVTools ha sido pirateado para servir a un instalador comprometido para la popular utilidad de informes de entorno VMware.
«Robware.net y rvtools.com están actualmente fuera de estría. Estamos trabajando rápidamente para restaurar el servicio y apreciar su paciencia», dijo la compañía en un comunicado publicado en su sitio web.
«Robware.net y RvTools.com son los únicos sitios web autorizados y compatibles para el software RVTools. No busque ni descarguen software RVTools de ningún otro sitio web o fuente».
El expansión se produce a posteriori de que el investigador de seguridad Aidan Leon reveló que una lectura infectada del instalador descargada desde el sitio web se estaba utilizando para dejar de revelar una DLL maliciosa que resultó ser un conocido cargador de malware llamado Bumblebee.
Actualmente no se sabe cuánto tiempo había estado fuera de estría la lectura troyanizada de RVTools y cuántos la habían instalado ayer de que el sitio fuera desconectado.
Mientras tanto, se recomienda a los usuarios para corroborar el hash del instalador y revisar cualquier ejecución de lectura.dll desde directorios de afortunado.
La divulgación surge cuando ha saliente a la luz que el software oficial suministrado con impresoras procoladas incluyó una puerta trasera con sede en Delphi indicación Xred y un malware Clipper denominado Snipvex que es capaz de sustituir las direcciones de la billetera en el portapapeles con la de una dirección codificada.
Cameron Coward descubrió por primera vez los detalles de la actividad maliciosa, que está detrás del hobbyismo en serie del canal de YouTube.
Xred, que se cree que está activo desde al menos 2019, viene con características para resumir información del sistema, registrar las pulsaciones de teclas, propagarse a través de unidades USB conectadas y ejecutar comandos enviados desde un servidor controlado por el atacante para capturar capturas de pantalla, sistemas de archivos y directorios de archivos, descargar archivos y delegar archivos del sistema.
«(Snipvex) exploración en el portapapeles el contenido que se asemeja a una dirección BTC y la reemplaza con la dirección del atacante, de modo que las transacciones de criptomonedas se desviarán al atacante», dijo la investigadora de datos K Karsten Hahn, quien investigó el incidente.
Pero en un libranza interesante, el malware infecta los archivos .exe con la funcionalidad Clipper y utiliza una secuencia de señalador de infección-0x0a 0x0b 0x0c-al final para evitar retornar a infectar los archivos por segunda vez. La dirección de la billetera en cuestión ha recibido 9.30857859 BTC (cerca de de $ 974,000) hasta la aniversario.
Desde entonces, Procolor ha obligado que los paquetes de software se cargaron en el servicio de alojamiento de archivos mega en octubre de 2024 a través de unidades USB y que el malware puede suceder sido introducido durante este proceso. Las descargas de software actualmente solo están disponibles para productos F13 Pro, VF13 Pro y V11 Pro.
«El servidor de comando y control del malware ha estado fuera de estría desde febrero de 2024», señaló Hahn. «Por lo tanto, no es posible que Xred haya establecido una conexión remota exitosa a posteriori de esa aniversario. El Snipvex del virus Clipanker que lo acompaña sigue siendo una amenaza profundo. Aunque las transacciones a la dirección BTC se detuvieron el 3 de marzo de 2024, la infección por el archivo daña los sistemas».
