Hacking
Επίθεση στο επίσημο site του RVTools με κακόβουλο λογισμικό Bumblebee
Το άρθρο αναλύει την παραβίαση του site του RVTools και τη διάδοση κακόβουλου λογισμικού Bumblebee μέσω τροποποιημένου εγκαταστάτη.
Η επίθεση στο site του RVTools
Το επίσημο site του RVTools, γνωστό για την παροχή εργαλείων αναφοράς για το περιβάλλον VMware, υπέστη επίθεση από χάκερς. Οι επιτιθέμενοι κατάφεραν να εισάγουν έναν τροποποιημένο εγκαταστάτη, ο οποίος περιέχει το κακόβουλο λογισμικό Bumblebee. Αυτή η εξέλιξη έχει προκαλέσει ανησυχία στην κοινότητα των χρηστών του RVTools, καθώς το λογισμικό αυτό είναι ευρέως χρησιμοποιούμενο για την παρακολούθηση και διαχείριση εικονικών μηχανών.
Σε ανακοίνωση που δημοσιεύτηκε στην ιστοσελίδα της, η εταιρεία ανέφερε: “Τα Robware.net και RVTools.com είναι προσωρινά εκτός λειτουργίας. Εργαζόμαστε εντατικά για την αποκατάσταση της υπηρεσίας και εκτιμούμε την υπομονή σας.” Η εταιρεία τόνισε επίσης ότι οι μόνοι εξουσιοδοτημένοι ιστότοποι για το λογισμικό RVTools είναι οι παραπάνω και προειδοποίησε τους χρήστες να μην αναζητούν ή να κατεβάζουν το λογισμικό από άλλες πηγές.
Η αποκάλυψη της παραβίασης
Η παραβίαση αποκαλύφθηκε από τον ερευνητή ασφαλείας Aidan Leon, ο οποίος ανακάλυψε ότι η μολυσμένη έκδοση του εγκαταστάτη που κατέβηκε από τον ιστότοπο χρησιμοποιήθηκε για να φορτωθεί μια κακόβουλη DLL, γνωστή ως Bumblebee. Το Bumblebee είναι ένα γνωστό εργαλείο φόρτωσης κακόβουλου λογισμικού που μπορεί να προκαλέσει σοβαρά προβλήματα ασφαλείας.
Δεν είναι ακόμη γνωστό πόσο καιρό ήταν διαθέσιμη η τροποποιημένη έκδοση του RVTools για λήψη και πόσοι χρήστες την είχαν εγκαταστήσει πριν το site τεθεί εκτός λειτουργίας. Στο μεταξύ, συνιστάται στους χρήστες να επαληθεύουν το hash του εγκαταστάτη και να εξετάζουν οποιαδήποτε εκτέλεση του version.dll από καταλόγους χρηστών.
Παράλληλες αποκαλύψεις κακόβουλου λογισμικού
Η αποκάλυψη αυτή έρχεται σε μια περίοδο που έχουν έρθει στο φως και άλλες περιπτώσεις κακόβουλου λογισμικού. Συγκεκριμένα, το επίσημο λογισμικό που συνοδεύει τους εκτυπωτές Procolored περιλάμβανε μια backdoor βασισμένη στη Delphi, γνωστή ως XRed, καθώς και ένα clipper malware με την ονομασία SnipVex, το οποίο μπορεί να αντικαθιστά διευθύνσεις πορτοφολιών στο clipboard με μια προκαθορισμένη διεύθυνση.
Οι λεπτομέρειες της κακόβουλης δραστηριότητας ανακαλύφθηκαν αρχικά από τον Cameron Coward, ο οποίος διαχειρίζεται το κανάλι Serial Hobbyism στο YouTube. Το XRed, το οποίο πιστεύεται ότι είναι ενεργό από το 2019, διαθέτει λειτουργίες για συλλογή πληροφοριών συστήματος, καταγραφή πληκτρολογήσεων, διάδοση μέσω συνδεδεμένων USB drives και εκτέλεση εντολών από εξυπηρετητή που ελέγχεται από επιτιθέμενους.
Η επικίνδυνη λειτουργία του SnipVex
Το SnipVex αναζητά το clipboard για περιεχόμενο που μοιάζει με διεύθυνση BTC και το αντικαθιστά με τη διεύθυνση του επιτιθέμενου, με αποτέλεσμα οι συναλλαγές κρυπτονομισμάτων να εκτρέπονται προς τον επιτιθέμενο. Ο ερευνητής της G DATA, Karsten Hahn, που διερεύνησε περαιτέρω το περιστατικό, ανέφερε ότι το SnipVex αποτελεί ακόμη σοβαρή απειλή, παρά το γεγονός ότι οι συναλλαγές προς τη διεύθυνση BTC σταμάτησαν στις 3 Μαρτίου 2024.
Αντιδράσεις και προληπτικά μέτρα
Η Procolored αναγνώρισε ότι τα πακέτα λογισμικού ανέβηκαν στην υπηρεσία φιλοξενίας αρχείων Mega τον Οκτώβριο του 2024 μέσω USB drives, και ότι το κακόβουλο λογισμικό μπορεί να εισήχθη κατά τη διάρκεια αυτής της διαδικασίας. Οι λήψεις λογισμικού είναι πλέον διαθέσιμες μόνο για τα προϊόντα F13 Pro, VF13 Pro και V11 Pro.
Ο Hahn σημείωσε ότι ο διακομιστής εντολών και ελέγχου του κακόβουλου λογισμικού έχει τεθεί εκτός λειτουργίας από τον Φεβρουάριο του 2024, καθιστώντας αδύνατη την επιτυχή απομακρυσμένη σύνδεση μετά από αυτή την ημερομηνία. Ωστόσο, η μόλυνση των αρχείων από το SnipVex συνεχίζει να προκαλεί ζημιές στα συστήματα.
