Vmware环境工具RVTools遭供应链投毒

点击蓝字 关注我们

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

🌟简介

RVTools 官方站点已被黑，用于提供受损害的安装程序，该程序是流行的 VMware 环境报告工具。

“Robware.net 和 RVTools.com 目前处于离线状态。我们正在紧急恢复服务，并感谢您的耐心等待，”该公司在其网站上发布的声明中表示。

“Robware.net 和 RVTools.com 是 RVTools 软件的唯一授权和支持网站。请勿从任何其他网站或来源搜索或下载所谓的 RVTools 软件。”

    安全研究员发现从其网站下载的安装程序的一个感染版本被用来侧载一个恶意 DLL，结果发现这是一个名为 Bumblebee 的已知恶意软件加载器。

目前尚不清楚被木马化的 RVTools 版本已经可供下载了多久，以及有多少人在网站关闭之前安装了它。

在此期间，建议用户验证安装程序的哈希值并检查用户目录中版本.dll 的任何执行情况。

其他情况

揭露这一情况的同时，还发现 Procolored 打印机附带官方软件中包含了一个基于 Delphi 的后门程序称为 XRed，以及一个名为 SnipVex 的剪贴板恶意软件，该软件能够将剪贴板中的钱包地址替换为硬编码的地址。

据信自 2019 年起活跃的 XRed 具有收集系统信息、记录按键、通过连接的 USB 驱动器传播以及执行来自攻击者控制服务器的命令的功能，以捕获屏幕截图、枚举文件系统和目录、下载文件以及从系统中删除文件。

"SnipVex 会在剪贴板中搜索类似 BTC 地址的内容，并将其替换为攻击者的地址，这样加密货币交易就会被转移到攻击者那里，"

但有趣的是，恶意软件感染具有剪辑功能的.EXE 文件，并使用感染标记序列-0x0A 0x0B 0x0C-在末尾，以避免第二次感染文件。相关的钱包地址至今已收到 9.30857859 BTC（约 974,000 美元）。

Procolored 已承认软件包于 2024 年 10 月通过 USB 驱动器上传到 Mega 文件托管服务，恶意软件可能在此次过程中被引入。目前软件下载仅适用于 F13 Pro、VF13 Pro 和 V11 Pro 产品。

“恶意软件的命令和控制服务器自 2024 年 2 月以来一直离线，” 汉恩指出。“因此，XRed 在此日期之后建立成功的远程连接是不可能的。随附的 clipbanker 病毒 SnipVex 仍然是一个严重威胁。尽管 2024 年 3 月 3 日停止了对 BTC 地址的交易，但文件感染本身会损害系统。”