O site oficial do RVTools foi hackeado para distribuir um instalador comprometido da popular ferramenta de relatório de ambientes VMware.
"Robware.net e RVTools.com estão atualmente fora do ar.
Estamos trabalhando com rapidez para restaurar o serviço e agradecemos a sua paciência", disse a empresa em um comunicado postado em seu site.
"Robware.net e RVTools.com são os únicos sites autorizados e suportados para o software RVTools.
Não procure ou faça download do suposto software RVTools de outros sites ou fontes."
O caso veio à tona depois que o pesquisador de segurança Aidan Leon revelou que uma versão infectada do instalador, baixada do site, estava sendo usada para carregar lateralmente uma DLL maliciosa que se revelou ser um conhecido carregador de malware chamado Bumblebee.
Atualmente, não se sabe por quanto tempo a versão trojanizada do RVTools esteve disponível para download e quantos a instalaram antes que o site fosse tirado do ar.
No interim, recomenda-se aos usuários que verifiquem o hash do instalador e revisem qualquer execução de version.dll de diretórios de usuários.
A revelação surge ao mesmo tempo em que veio à luz que o software oficial fornecido com impressoras Procolored incluía um backdoor baseado em Delphi chamado XRed e um malware clipper denominado SnipVex, capaz de substituir endereços de carteiras no clipboard pelo de um endereço codificado.
Os detalhes da atividade maliciosa foram descobertos pela primeira vez por Cameron Coward, responsável pelo canal do YouTube Serial Hobbyism.
XRed, acredita-se estar ativo desde pelo menos 2019, vem com recursos para coletar informações do sistema, registrar keystrokes, propagar-se via drives USB conectados e executar comandos enviados de um servidor controlado pelo atacante para capturar capturas de tela, enumerar sistemas de arquivos e diretórios, baixar arquivos e deletar arquivos do sistema.
"[SnipVex] pesquisa no clipboard conteúdo que se assemelhe a um endereço BTC e o substitui pelo endereço do atacante, de tal forma que as transações de criptomoeda sejam desviadas para o atacante", disse o pesquisador da G DATA, Karsten Hahn, que investigou mais a fundo o incidente.
Mas, em uma reviravolta interessante, o malware infecta arquivos .EXE com a funcionalidade de clipper e faz uso de uma sequência marcadora de infecção – 0x0A 0x0B 0x0C – no final para evitar reinfectar os arquivos uma segunda vez.
O endereço da carteira em questão recebeu 9.30857859 BTC (cerca de US$ 974.000) até o momento.
A Procolored desde então reconheceu que os pacotes de software foram carregados no serviço de hospedagem de arquivos Mega em outubro de 2024 via drives USB e que o malware pode ter sido introduzido durante esse processo.
Os downloads de software estão atualmente disponíveis apenas para os produtos F13 Pro, VF13 Pro e V11 Pro.
"O servidor de comando e controle do malware está offline desde fevereiro de 2024", observou Hahn.
Portanto, não é possível que o XRed estabeleceu uma conexão remota bem-sucedida após essa data.
O vírus clipbanker acompanhante, SnipVex, ainda é uma séria ameaça.
Embora as transações para o endereço BTC tenham cessado em 3 de março de 2024, a própria infecção do arquivo danifica sistemas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...