Situs resmi untuk RVTools telah diretas untuk melayani pemasang yang dikompromikan untuk utilitas pelaporan lingkungan VMware yang populer.
“Robware.net dan rvtools.com saat ini sedang offline. Kami bekerja dengan cepat untuk memulihkan layanan dan menghargai kesabaran Anda,” kata perusahaan itu dalam sebuah pernyataan yang diposting di situs webnya.
“Robware.net dan rvtools.com adalah satu -satunya situs web yang resmi dan didukung untuk perangkat lunak RVTools. Jangan mencari atau mengunduh perangkat lunak RVTools yang diakui dari situs web atau sumber lain.”
Pengembangan datang setelah peneliti keamanan Aidan Leon mengungkapkan bahwa versi installer yang terinfeksi yang diunduh dari situs web digunakan untuk memuat DLL berbahaya yang ternyata adalah pemuat malware yang dikenal bernama Bumblebee.
Saat ini tidak diketahui berapa lama RVTools versi trojanisasi telah tersedia untuk diunduh dan berapa banyak yang telah menginstalnya sebelum situs diambil secara offline.
Sementara itu, pengguna disarankan untuk memverifikasi hash penginstal dan meninjau eksekusi versi.dll dari direktori pengguna.
Pengungkapan tersebut muncul karena telah terungkap bahwa perangkat lunak resmi yang disediakan dengan printer yang dicantumkan termasuk pintu belakang berbasis Delphi yang disebut Xred dan Clipper malware yang dijuluki Snipvex yang mampu mengganti alamat dompet di clipboard dengan alamat yang dikodekan dengan kode.
Rincian aktivitas jahat pertama kali ditemukan oleh Cameron Coward, yang berada di belakang Hobi Serial Saluran YouTube.
Xred, yang diyakini aktif sejak setidaknya 2019, dilengkapi dengan fitur untuk mengumpulkan informasi sistem, penekanan tombol log, merambat melalui drive USB yang terhubung, dan menjalankan perintah yang dikirim dari server yang dikendalikan oleh penyerang untuk menangkap tangkapan layar, menghitung sistem file dan direktori, mengunduh file, dan menghapus file dari sistem.
“[SnipVex] Mencari clipboard untuk konten yang menyerupai alamat BTC dan menggantinya dengan alamat penyerang, sehingga transaksi cryptocurrency akan dialihkan ke penyerang, “peneliti data G Harsten Hahn, yang lebih lanjut menyelidiki insiden itu, mengatakan.
Tetapi dalam twist yang menarik, malware menginfeksi file .exe dengan fungsionalitas clipper dan memanfaatkan urutan penanda infeksi-0x0a 0x0b 0x0c-di akhir untuk menghindari infeksi ulang file untuk kedua kalinya. Alamat dompet yang dimaksud telah menerima 9.30857859 BTC (sekitar $ 974.000) hingga saat ini.
Procolored sejak itu mengakui bahwa paket perangkat lunak diunggah ke layanan hosting file mega pada Oktober 2024 melalui drive USB dan bahwa malware mungkin telah diperkenalkan selama proses ini. Unduhan perangkat lunak saat ini hanya tersedia untuk produk F13 Pro, VF13 Pro, dan V11 Pro.
“Server perintah dan kontrol malware telah offline sejak Februari 2024,” kata Hahn. “Jadi tidak mungkin bahwa Xred membuat koneksi jarak jauh yang berhasil setelah tanggal itu. Virus clipbanker yang menyertainya Snipvex masih merupakan ancaman serius. Meskipun transaksi ke alamat BTC dihentikan pada 3 Maret 2024, infeksi file itu sendiri merusak sistem.”
