De officiële site voor RVTools is gehackt om een gecompromitteerd installatieprogramma te dienen voor het populaire VMware -omgevingshulpprogramma.
“Robware.net en rvtools.com zijn momenteel offline. We werken snel om de service te herstellen en uw geduld te waarderen,” zei het bedrijf in een verklaring op haar website.
“Robware.net en rvtools.com zijn de enige geautoriseerde en ondersteunde websites voor RVTools -software. Zoek niet naar of downloaden vermeende RVTools -software van andere websites of bronnen.”
De ontwikkeling komt nadat beveiligingsonderzoeker Aidan Leon onthulde dat een geïnfecteerde versie van het installatieprogramma van de website werd gebruikt om een kwaadwillende DLL te sideloaden die een bekende malware -lader bleek te zijn genaamd Bumblebee.
Het is momenteel niet bekend hoe lang de Trojanized -versie van RVTools beschikbaar was om te downloaden en hoeveel hadden het geïnstalleerd voordat de site offline werd gehaald.
In de tussentijd worden gebruikers aanbevolen om de hash van de installateur te verifiëren en elke uitvoering van versie.dll uit gebruikersmappen te bekijken.
De openbaarmaking komt omdat het aan het licht is gekomen dat de officiële software die bij geprojecteerde printers werd geleverd, een in Delphi gebaseerde achterdeur genaamd Xred en een Clipper-malware genaamd Snipvex omvatten die in staat is om portemonnee-adressen in het klembord te vervangen door een hard gecodeerd adres.
Details van de kwaadaardige activiteit werden voor het eerst ontdekt door Cameron Coward, die achter het YouTube -kanaal seriële hobbyisme zit.
Xred, verondersteld actief te zijn sinds ten minste 2019, wordt geleverd met functies om systeeminformatie te verzamelen, logtakels, zich te verspreiden via verbonden USB-schijven en het uitvoeren van commando’s die zijn verzonden vanuit een door aanvallers gecontroleerde server om screenshots vast te leggen, bestandssystemen en mappen te informeren, bestanden te downloaden en bestanden uit het systeem te verwijderen.
“(SnipVex) zoekt het klembord naar inhoud die lijkt op een BTC -adres en het vervangt door het adres van de aanvaller, zodat cryptocurrency -transacties worden omgeleid naar de aanvaller,” zei G -gegevensonderzoeker Karsten Hahn, die het incident verder onderzocht.
Maar in een interessante wending infecteert de malware-bestanden .exe-bestanden met de Clipper-functionaliteit en maakt gebruik van een infectiemarkeringsvolgorde-0x0a 0x0b 0x0c-aan het einde om te voorkomen dat de bestanden een tweede keer opnieuw worden geïnfecteerd. Het Wallet -adres in kwestie heeft tot nu toe 9.30857859 BTC ontvangen (ongeveer $ 974.000).
Procolored heeft sindsdien erkend dat de softwarepakketten in oktober 2024 via USB -schijven zijn geüpload naar de Mega File Hosting Service en dat de malware tijdens dit proces mogelijk is geïntroduceerd. Softwaredownloads zijn momenteel alleen beschikbaar voor F13 PRO-, VF13 PRO- en V11 -PRO -producten.
“De command-and-control server van de malware is sinds februari 2024 offline”, merkte Hahn op. “Het is dus niet mogelijk dat Xred na die datum een succesvolle externe verbinding tot stand heeft gebracht. De bijbehorende ClipBanker -virus SnipVex is nog steeds een serieuze bedreiging. Hoewel transacties naar het BTC -adres gestopt op 3 maart 2024, schaadt de bestandsinfectie zelf systemen.”
