El sitio oficial de RVTools ha sido pirateado para servir a un instalador comprometido para la popular utilidad de informes de entorno VMware.
«Robware.net y rvtools.com están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y apreciar su paciencia», dijo la compañía en un comunicado publicado en su sitio web.
«Robware.net y RvTools.com son los únicos sitios web autorizados y compatibles para el software RVTools. No busque ni descarguen software RVTools de ningún otro sitio web o fuente».
El desarrollo se produce después de que el investigador de seguridad Aidan Leon reveló que una versión infectada del instalador descargada desde el sitio web se estaba utilizando para dejar de revelar una DLL maliciosa que resultó ser un conocido cargador de malware llamado Bumblebee.
Actualmente no se sabe cuánto tiempo había estado fuera de línea la versión troyanizada de RVTools y cuántos la habían instalado antes de que el sitio fuera desconectado.
Mientras tanto, se recomienda a los usuarios para verificar el hash del instalador y revisar cualquier ejecución de versión.dll desde directorios de usuario.
La divulgación surge cuando ha salido a la luz que el software oficial suministrado con impresoras procoladas incluyó una puerta trasera con sede en Delphi llamada Xred y un malware Clipper denominado Snipvex que es capaz de sustituir las direcciones de la billetera en el portapapeles con la de una dirección codificada.
Cameron Coward descubrió por primera vez los detalles de la actividad maliciosa, que está detrás del hobbyismo en serie del canal de YouTube.
Xred, que se cree que está activo desde al menos 2019, viene con características para recopilar información del sistema, registrar las pulsaciones de teclas, propagarse a través de unidades USB conectadas y ejecutar comandos enviados desde un servidor controlado por el atacante para capturar capturas de pantalla, sistemas de archivos y directorios de archivos, descargar archivos y delegar archivos del sistema.
«(Snipvex) busca en el portapapeles el contenido que se asemeja a una dirección BTC y la reemplaza con la dirección del atacante, de modo que las transacciones de criptomonedas se desviarán al atacante», dijo la investigadora de datos K Karsten Hahn, quien investigó el incidente.
Pero en un giro interesante, el malware infecta los archivos .exe con la funcionalidad Clipper y utiliza una secuencia de marcador de infección-0x0a 0x0b 0x0c-al final para evitar volver a infectar los archivos por segunda vez. La dirección de la billetera en cuestión ha recibido 9.30857859 BTC (alrededor de $ 974,000) hasta la fecha.
Desde entonces, Procolor ha reconocido que los paquetes de software se cargaron en el servicio de alojamiento de archivos mega en octubre de 2024 a través de unidades USB y que el malware puede haber sido introducido durante este proceso. Las descargas de software actualmente solo están disponibles para productos F13 Pro, VF13 Pro y V11 Pro.
«El servidor de comando y control del malware ha estado fuera de línea desde febrero de 2024», señaló Hahn. «Por lo tanto, no es posible que Xred haya establecido una conexión remota exitosa después de esa fecha. El Snipvex del virus Clipanker que lo acompaña sigue siendo una amenaza grave. Aunque las transacciones a la dirección BTC se detuvieron el 3 de marzo de 2024, la infección por el archivo daña los sistemas».
