Bir güvenlik araştırmacısı, RVTools’un resmi sitesi, popüler yardımcı program için tehlikeye atılmış bir yükleyiciye hizmet etmek için saldırıya uğradı.
Kötü niyetli sürümün ne kadar süredir indirilebileceğini söylemek zor, ancak web sitesi Cuma gününden beri çevrimdışı ve hafta sonu boyunca aşağıdaki bildirimi göstermeye başladı:
Web sitesi bildiriminin ekran görüntüsü (Kaynak: Yardım Net Güvenlik)
Kötü niyetli RVTools yükleyici kötü amaçlı yazılım sunar
RVTOOLS, yöneticilerin VMware vSphere ortamlarından bilgileri toplamaya ve analiz etmesine yardımcı olan ücretsiz Windows tabanlı bir yardımcı programdır, daha spesifik olarak: sanal makineler ve ana bilgisayarlar, veri depoları, diskler ve sanal ağ arayüz kartları, ağlar ve sanal anahtarlar ve VM anlık görüntüleri hakkında bilgi.
Başlangıçta Rob de Veij tarafından geliştirilen ve daha sonra Dell Technologies tarafından satın alınan RVTools, VMware ekosisteminde uzun süredir devam eden bir üne sahiptir, bu da kötü amaçlı yazılım satıcılarının sürekli olarak çevrimiçi arayan kullanıcıları hedeflemesinin nedeninin bir parçasıdır.
Genellikle RVTools olarak poz veren kötü amaçlı yazılımları indirmek için onları kandırmak için benzer alanlar ve kötü amaçlı Google reklamları kullanırlar. Ancak bu sefer de aracın resmi sitesini tehlikeye atmayı başardılar.
Güvenlik araştırmacısı Aidan Leon, Perşembe günü alarm verdi.
“13 Mayıs 2025’te Güvenlik Operasyonları Ekibimiz, Microsoft Defender’dan Endpoint için yüksek güvene bağlı bir uyarıya yanıt verdi. Bir çalışan RVTools’u yüklemeye çalıştı-güvenilir bir VMware ortam raporlama yardımcı programı. Yükleyiciyi başlatma anları içinde şüpheli bir dosya işaretledi: sürüm.dllyükleyicinin kendisiyle aynı dizinin içinden yürütmeye çalışıyordu ”dedi.
Yardım için, kötü amaçlı yükleyicinin kaynağının resmi RVTools web sitesi olduğunu doğruladı ( Robware.netve bu defans oyuncusu Pazartesi günü saat 14: 11’de enfekte olmuş RVTools kurulumunu aldı.
“Devam ettim ve Virustotal’a (…) karşı dosyayı kontrol ettim ve RVTools varyantının ilk olarak 5/12 Pazartesi günü Virustotal’a gönderildiği anlaşılıyor, bu da web sitesinin Pazartesi günü saat 15: 00’de tehlikeye atıldığına inanmamı sağladı. Salı günü saat 15.00 civarında, web sitesi indirildi ve RVtools’un güvenli bir şekilde indirilmesiyle yeniden yapılandırıldı” dedi.
Leon’un hesabına göre, kötü amaçlı kurulumcu meşru olandan daha büyüktü ve tehdit aktörleri, ikincisinin yayınlanmış karma olan orijinalini değiştirmek için uğraşmadı. “Ne zaman [the site] Çevrimiçi olarak geri döndü, indirme değişti: dosya boyutu daha küçüktü ve karma şimdi sitede listelenen temiz sürümle eşleşti. ”
Cuma günü, site tekrar çevrimdışı, açıklama yapmadan. Görünen uzlaşma hakkında sorularla Dell’e ulaştık, ancak henüz onlardan haber almadık.
Sahte RVTools Sitesi Arama Sonuçlarında Yüksek Sıralı
Virustotal, kötü niyetli yükleyicinin, tehdit aktörleri tarafından genellikle başlangıç erişimini kazanmak ve fidye yazılımı yükleri ve sömürme sonrası çerçeveler sunmak için kullanılan Bumblebee kötü amaçlı yazılım yükleyicisini içerdiğini söylüyor.
Resmi RVTools sitesindeki bildirim, “diğer web sitelerinden veya kaynaklardan iddia edilen RVTools yazılımını arayan veya indirme konusunda uyarıyor – ve haklı olarak:“ RVTools İndir ”için basit bir Google araması şu anda gösteriyor. rvtools[.]org – Bir RVTools, resmi olanı ilan eden bir alan ve site – ilk sonuç olarak (reklam olarak değil!).
Virustotal’a göre, bu sitede indirmek için sunulan RVTools yükleyicisi kötü niyetli:
Virustotal Tarama Sonuçları (Kaynak: Yardım Net Güvenlik)
Açıkçası, resmi sitelerden yazılım indirmenin olağan tavsiyesinin bu durumda çok yardımcı olması muhtemel değildir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!