RVTools’un resmi sitesi, popüler VMware çevre raporlama yardımcı programı için tehlikeye atılmış bir yükleyiciye hizmet vermek üzere saldırıya uğradı.
“Robware.net ve rvtools.com şu anda çevrimdışı. Hizmeti geri yüklemek ve sabrınızı takdir etmek için hızla çalışıyoruz.” Dedi.
“Robware.net ve rvtools.com, RVTools yazılımı için tek yetkili ve desteklenen web siteleridir. Söz konusu RVTools yazılımını diğer web sitelerinden veya kaynaklardan aramayın veya indirmeyin.”
Geliştirme, güvenlik araştırmacısı Aidan Leon, web sitesinden indirilen yükleyicinin enfekte olmuş bir versiyonunun, Bumblebee adlı bilinen bir kötü amaçlı yazılım yükleyicisi olduğu ortaya çıkan kötü amaçlı bir DLL’nin yan yüklendiğini açıkladıktan sonra geliyor.
Şu anda RVTools’un trojanize sürümünün indirilebileceği ve site çevrimdışı alınmadan önce kaçının yüklediği bilinmemektedir.
Bu arada, kullanıcıların yükleyicinin karmasını doğrulamaları ve kullanıcı dizinlerinden versiyonun yürütülmesini incelemeleri önerilir.
İfşa, Procolored yazıcılarla birlikte verilen resmi yazılımın, XRED adı verilen Delphi tabanlı bir arka kapı ve panodaki cüzdan adreslerini bront kodlu bir adresle değiştirebilen bir Clipper kötü amaçlı yazılım içerdiği ortaya çıktı.
Kötü niyetli aktivitenin detayları ilk olarak YouTube kanalı seri hobisinin arkasındaki Cameron Coward tarafından keşfedildi.
En az 2019’dan beri aktif olduğuna inanılan XRED, sistem bilgilerini toplamak, tuş vuruşlarını günlüklendirmek, bağlı USB sürücüleri aracılığıyla yaymak ve ekran görüntülerini yakalamak, göndermek, dosyaları indirmek ve dosyaları sistemden silmek için saldırgan kontrollü bir sunucudan gönderilen komutları yürütmek için geliyor.
“[SnipVex] Panoyu, bir BTC adresine benzeyen ve saldırganın adresiyle değiştiren içerik arar, böylece kripto para birimi işlemleri saldırgana yönlendirilecek,
Ancak ilginç bir bükülmede, kötü amaçlı yazılım .xe dosyalarını kesme işlevselliğine bulaşır ve sonunda dosyaları ikinci kez yeniden entefekte etmekten kaçınmak için bir enfeksiyon markeri dizisini-0x0a 0x0b 0x0c-kullanır. Söz konusu cüzdan adresi bugüne kadar 9.30857859 BTC (yaklaşık 974.000 $) aldı.
Procolored, o zamandan beri yazılım paketlerinin Ekim 2024’te USB sürücüleri aracılığıyla Mega Dosya Barındırma Hizmetine yüklendiğini ve bu süreçte kötü amaçlı yazılımın tanıtılmış olabileceğini kabul etti. Yazılım indirmeleri şu anda yalnızca F13 Pro, VF13 Pro ve V11 Pro ürünleri için kullanılabilir.
Hahn, “Kötü amaçlı yazılımların komut ve kontrol sunucusu Şubat 2024’ten beri çevrimdışı.” Diyerek şöyle devam etti: “Dolayısıyla Xred’in bu tarihten sonra başarılı bir uzaktan bağlantı kurması mümkün değil. Eşlik eden Clipbanker virüsü snipvex hala ciddi bir tehdit. BTC adresine yapılan işlemler 3 Mart 2024’te dursa da, dosya enfeksiyonunun kendisi sistemlere zarar veriyor.”