Em resposta às nossas perguntas sobre o ataque, a Dell afirma que o instalador malicioso do RVTools não foi distribuído por seus sites, mas sim por domínios falsos similares aos originais.
A empresa também informa que os sites gerenciados pela Dell, Robware.net e RVTools.com, foram retirados do ar pois estão sendo alvo de ataques DDoS.
“A Dell Technologies opera dois sites para distribuição do nosso software RVTools: Robware.net e RVTools.com.
Estamos cientes de relatórios alegando que versões maliciosas do software RVTools estavam disponíveis nesses sites.
Nossa investigação não identificou quaisquer indícios que sugerissem um comprometimento destes sites ou do software disponível para download neles.”
“Identificamos sites falsos projetados para imitar os nossos que podem estar distribuindo malware. Nossos sites legítimos - Robware.net e RVTools.com - foram objeto de recentes ataques denial of service (DOS). Como precaução, desativamos temporariamente esses sites.”
Para o software RVTools, os únicos sites gerenciados pela Dell são Robware.net e RVTools.com.
Os clientes não devem procurar ou baixar o suposto software RVTools de quaisquer outros sites ou fontes.
Isso contradiz o que o pesquisador da ZeroDay Labs, Aidan Leon, postou várias vezes no Reddit, afirmando que os arquivos foram baixados diretamente do site do RVTools.
“Estou recebendo algumas respostas contraditórias sobre quando foi oficialmente comprometido.
Estive lendo diferentes artigos afirmando que esta não é a primeira vez que isso aconteceu,” Leon postou no Reddit sob o pseudônimo TrippyyMuffin.
“Na maioria das vezes, são apenas pessoas azaradas que não percebem o SEO poisoning, mas desta vez o próprio site foi comprometido. Eu percebi isso em primeira mão na segunda-feira (12/05).
Na tarde de terça-feira o site saiu do ar, voltou online e o arquivo malicioso foi substituído por um seguro.”
“No momento, o site está offline novamente, então algo definitivamente está acontecendo nos bastidores. Esperançosamente está a favor do RVTools, e não o contrário.”
Embora a Dell diga que os instaladores com malware não vieram dela, o fato é que os atores de ameaças estão distribuindo loaders de malware Bumblebee disfarçados de RVTools.
Se você instalou recentemente o software, é fortemente sugerido que faça uma varredura dele no VirusTotal para confirmar que não baixou a versão maliciosa.
A história original, não editada, está abaixo.
O site oficial da ferramenta de gerenciamento VMware RVTools foi retirado do ar no que parece ser um ataque à cadeia de suprimentos que distribuía um instalador trojanizado para soltar o loader de malware Bumblebee nas máquinas dos usuários.
No momento da redação deste texto, os sites oficiais do RVTools em 'rvtools.com' e 'robware.net' agora exibem um aviso alertando sobre os riscos de baixar a ferramenta de outras fontes.
A mensagem não fornece uma estimativa de quando os portais de download voltarão ao ar.
“Robware.net e RVTools.com estão atualmente offline.
Estamos trabalhando com rapidez para restaurar o serviço e agradecemos sua paciência,” lê-se no aviso do site.
“Robware.net e RVTools.com são os únicos sites autorizados e suportados para o software RVTools.
Não procure ou baixe o suposto software RVTools de quaisquer outros sites ou fontes.”
O RVTools, inicialmente desenvolvido pela Robware e agora de propriedade da Dell, é uma utilidade Windows que fornece um relatório de inventário e saúde abrangente para ambientes VMware vSphere.
O RVTools é amplamente considerado uma ferramenta essencial para administradores VMware, e o próprio Blog Virtual Blocks da VMware o reconheceu como uma das principais utilidades para gestão vSphere.
O ataque à cadeia de suprimentos foi descoberto inicialmente pelo pesquisador da ZeroDay Labs, Aidan Leon, que alertou que o instalador oficial do RVTools [VirusTotal] tentou executar uma versão maliciosa de version.dll [VirusTotal] que foi detectada como o loader de malware Bumblebee.
“Investigações adicionais revelaram uma discrepância entre o hash do arquivo listado no site do RVTools e o arquivo real baixado,” explica Leon.
“A versão baixada era significativamente maior e continha o version.dll malicioso. Versões mais antigas do RVTools não continham este arquivo e seus hashes correspondiam aos publicados corretamente.”
Cerca de uma hora depois de nossa submissão ao VirusTotal, o número de submissões públicas aumentou de 4 para 16.
Por volta desse mesmo tempo, o site do RVTools ficou temporariamente offline.
Quando voltou ao ar, o download havia mudado: o tamanho do arquivo estava menor, e o hash agora correspondia à versão limpa listada no site.
Bumblebee é um loader de malware que é tipicamente promovido via SEO poisoning, malvertising e ataques de phishing.
Quando instalado, o malware baixa e executa payloads adicionais em dispositivos infectados, como beacons do Cobalt Strike, ladrões de informações e ransomware.
O malware foi vinculado à operação de ransomware Conti, que usou o malware para ganhar acesso inicial às redes corporativas.
Embora a operação de ransomware Conti tenha sido encerrada em 2022, muitos de seus membros se dividiram em outras operações de ransomware, incluindo Black Basta, Royal, Silent Ransom e outros, que provavelmente ainda têm acesso às ferramentas.
A empresa de cibersegurança Arctic Wolf também relata ter visto instaladores trojanizados do RVTools distribuídos através de domínios maliciosos similares aos originais, provavelmente promovidos através de SEO poisoning ou malvertising.
“Arctic Wolf observou recentemente a distribuição de um instalador trojanizado do RVTools via um domínio malicioso similar ao original,” lê-se no relatório da Arctic Wolf.
“O domínio corresponde ao legítimo, porém, o Top Level Domain (TLD) é alterado de .com para .org.
RVTools é uma utilidade VMware amplamente utilizada para relatório de inventário e configuração, desenvolvida pela Robware.”
Recentemente, houve outros relatórios de campanhas de SEO poisoning e malvertising visando a marca RVTools para enganar as pessoas a baixarem instaladores trojanizados maliciosos.
Se você baixou software desses domínios, há uma boa chance de seu dispositivo estar infectado com o malware Bumblebee e possivelmente payloads adicionais.
Como o malware é usado por atores de ameaças para ganhar um ponto de apoio nas redes corporativas, se detectado, é crucial realizar uma investigação completa para determinar se outros dispositivos foram comprometidos.
Não baixe e execute instaladores do RVTools de fontes não oficiais que alegam oferecer uma versão segura/limpa, a menos que você verifique seu hash.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...