VMware sistemlerini yönetmek için yaygın olarak kullanılan bir araç olan RVTools, yakın zamanda kullanıcılara zararlı yazılımlar sunarken bulundu. Bir güvenlik araştırmacısı Aidan Leon, resmi web sitesinde RVTools için tehlikeye atılmış bir yükleyici keşfettikten sonra ZerodayLabs’taki bir blog yayınında alarmı duydu.
Sorun, 15 Mayıs 2025 Perşembe günü, Leon’un güvenlik ekibinin bir RVTools yükleyicisinden koşmaya çalışarak şüpheli bir dosya olan sürüm.dll tespit ettiği zaman ortaya çıktı. Bu, bir çalışanın yardımcı programı kurma girişimi sırasında oldu.
Bildirildiğine göre, enfekte olmuş versiyon ilk olarak 12 Mayıs 2025 Pazartesi günü yüklendi, bu da web sitesinin o gün sabah 8 ile 11.00 arasında tehlikeye atıldığını gösteriyor. Resmi web sitesi daha sonra çevrimdışı gitti ve daha sonra indirmenin temiz bir sürümü ile yeniden ortaya çıktı. Ancak, 16 Mayıs 2025 Cuma günü, site açıklama yapmadan tekrar çevrimdışı oldu.
Endpoint için Microsoft Defender etkinliği hızla işaretledi. Daha fazla araştırma, kötü amaçlı yükleyicinin resmi RVTools web sitesi Robware.net’ten kaynaklandığını doğruladı. Ayrıca Leon, enfekte RVTools yükleyicisinin meşru muadilinden belirgin bir şekilde daha büyük olduğunu buldu. Ayrıca resmi sitede listelenen temiz sürümle eşleşmeyen bir dosya karma içeriyordu.
Dosyanın kötü niyetli içeriği kontrol eden bir hizmet olan Virustotal üzerindeki analizi, ciddiyeti doğruladı: 71 antivirüs motorundan 33’ü, bumblebee kötü amaçlı yazılım yükleyicisinin bir varyantı olarak tanımladı – tiber suçlulara ilk erişim kazanma rolüyle bilinen bir kötü amaçlı yazılım, genellikle fidye yazılımları veya ileri saldırı çerçeveleri için yol açtı.
Kötü niyetli dosya, meta verilerindeki orijinal dosya adı olarak “Hydrarhrus” ve ürün için “Elephanta gruplanamayan clyfaker gutturalitesi” gibi garip açıklamalar gibi olağandışı ve kasıtlı olarak kafa karıştırıcı ayrıntılara sahipti. Bir Zeroday Labs raporunda belirtildiği gibi, bu şifreli terimler, dosyanın gerçek zararlı amacından bir dikkat dağıtıcı olarak kullanılmıştır.
Kötü niyetli dosyanın Virustotal’a gönderilmesinden bir saat sonra, kamu tespiti arttı. Bu, RVTools web sitesinin geçici olarak çevrimdışı olmasıyla çakıştı. Site geri döndüğünde, indirilen dosya değişmişti, şimdi daha küçük ve resmi, güvenli dosya karma ile eşleşti. Bu hızlı değişim, yazılımın dağıtım kanalından kısa ama hedefli bir uzlaşmayı şiddetle önerdi.
Güvenlik endişeleri resmi web sitesi ile bitmez. Meşru RVTools sitesi hakkında bir uyarı, yazılımı diğer kaynaklardan indirmeyi tavsiye eder. “RVTools Download” için basit bir çevrimiçi arama, şu anda benzeri bir web sitesi gösterdiğinden, bu tavsiye kritiktir. rvtoolsorgen büyük sonuç olarak. Resmi olduğunu iddia eden bu sahte site, kötü niyetli bir RVTools yükleyicisi de sunuyor.
Olay, meşru kaynaklardan bile yazılım indirirken dikkatli olması gerektiğini göstermektedir. RVTools yükleyen kuruluşlar, dosya karmalarını kontrol ederek ve olağandışı etkinlikleri, özellikle de yürütülmesini tespit ederek yükleyicinin bütünlüğünü doğrulamalıdır.version.dll”Kullanıcı dizinlerinden.