El sitio web oficial de RVTools está pirateado para servir a los instaladores comprometidos de la popular utilidad de informes de entorno VMware.
«Robware.net y rvtools.com están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar nuestros servicios y evaluar su paciencia», dijo la compañía en un comunicado publicado en su sitio web.
«Robware.net y rvtools.com es el único sitio web aprobado y compatible para el software RVTools. No busque ni descarte el software RVTools de otros sitios web o fuentes».
El desarrollo se produce después de que el investigador de seguridad Aidan Leon reveló que una versión infectada del instalador descargada desde el sitio web se está utilizando para que se mueva una DLL maliciosa que resulta ser un conocido cargador de malware llamado Bumblebee.
Actualmente, la versión troyanizada de RVTools se puede descargar durante un período de tiempo más largo que el instalado antes de que el sitio se desconectara.
Mientras tanto, se recomienda que los usuarios verifiquen el hash del instalador y verifiquen la ejecución de versión.dll desde el directorio de usuario.
La divulgación se produce cuando queda claro que el software oficial proporcionado por la impresora de Procolation contiene una puerta trasera basada en Delphi llamada XRED y un malware Clipper llamado Malware Clipper que puede reemplazar la dirección de la billetera del portapapeles con una de una dirección de codificación dura.
Cameron Coward descubrió por primera vez los detalles de la actividad maliciosa, detrás de los entusiastas de la serie en su canal de YouTube.
Considerado activo desde al menos 2019, Xred viene con la capacidad de propagar a través de la información del sistema, registrar las teclas de teclas, la capacidad de realizar comandos enviados desde servidores controlados por el atacante, lo que le permitirá capturas de pantalla, enumeración del sistema de archivos y directorio, descargar archivos y eliminar archivos del sistema.
«(SnipVex) busca en el portapapeles un contenido similar a las direcciones BTC y lo reemplaza con la dirección del atacante para que el atacante pase por alto las transacciones de criptomonedas».
Pero con un giro interesante, el malware infecta la funcionalidad de Clipper con archivos .exe y finalmente usa la secuencia del marcador de infección (0x0a 0x0b 0x0c) para evitar que el archivo vuelva a reiniciar. La dirección de la billetera en cuestión ha recibido 9.30857859 BTC (aproximadamente $ 974,000) hasta ahora.
Desde entonces, Procolor ha admitido que el paquete de software se cargó al servicio de alojamiento de archivos mega en octubre de 2024 a través de una unidad USB, y que el malware puede haberse introducido durante este proceso. Las descargas de software actualmente solo están disponibles para productos F13 Pro, VF13 Pro y V11 Pro.
«El comando de malware y el servidor de control han estado fuera de línea desde febrero de 2024», señaló Hearn. «Es imposible que Xred establezca una conexión remota exitosa después de esa fecha. El Snipvex del virus del búnker de clip acompañante sigue siendo una amenaza grave. El comercio a las direcciones BTC se detuvo el 3 de marzo de 2024, pero la infección por archivos en sí misma es perjudicial para el sistema».
actualizar
Dell Technologies, que opera los dos sitios, dijo que los instaladores de RVTools maliciosos no se distribuyen de ellos, sino de dominios falsos que los imitan. También dijo que el sitio fue eliminado ya que fue atacado en un ataque DDoS. Aquí está la declaración completa de Dell:
Dell Technologies opera dos sitios web: software RVTools Robware.net y rvtools.com. Somos conscientes de los informes que afirman que las versiones maliciosas del software RVTools están disponibles en estos sitios web. Nuestra investigación no identifica ninguna indicación que sugiera compromisos en estos sitios web o compromisos en el software disponible de ellos.
Hemos identificado sitios web falsos diseñados para imitar sitios web que pueden estar distribuyendo malware. Nuestros sitios web legítimos, robware.net y rvtools.com, han sido objeto de ataques recientes de denegación de servicio (DOS). Como precaución, deshabilitamos temporalmente estos sitios.
Para el software RVTools, los únicos sitios administrados por Dell son robware.net y rvtools.com. Los clientes no deben buscar ni descargar software RVTools desde otros sitios web o fuentes.
(La historia se actualizó después de que se publicó el 21 de mayo de 2025 e incluye respuestas de Dell).
Source link
