RVTools 官方网站遭黑客入侵，通过木马安装程序传播 Bumblebee 恶意软件

RVTools 的官方网站已被黑客入侵，以提供流行的 VMware 环境报告实用程序的受损安装程序。

该公司在其网站上发布的声明中表示： “Robware.net 和 RVTools.com 目前处于离线状态。我们正在尽快恢复服务，感谢您的耐心等待。”

Robware.net 和 RVTools.com 是 RVTools 软件唯一授权和支持的网站。请勿从任何其他网站或来源搜索或下载所谓的 RVTools 软件。

此前，安全研究员 Aidan Leon透露，从该网站下载的安装程序的受感染版本被用于侧载恶意 DLL，而该 DLL 后来被证实是名为Bumblebee的已知恶意软件加载程序。

目前尚不清楚 RVTools 木马版本可供下载的时间有多长，以及在该网站下线之前有多少人安装了该版本。

在此期间，建议用户验证安装程序的哈希值并检查用户目录中任何 version.dll 的执行情况。

此次披露之际，有消息称，Procolored 打印机附带的官方软件包含一个名为 XRed 的基于 Delphi 的后门和一个名为 SnipVex 的剪切恶意软件，该恶意软件能够用硬编码地址替换剪贴板中的钱包地址。

YouTube 频道 Serial Hobbyism 的幕后推手卡梅伦·考沃德 (Cameron Coward)最先发现了这一恶意活动的细节。

XRed据信至少自 2019 年以来一直处于活跃状态，具有收集系统信息、记录击键、通过连接的 USB 驱动器传播以及执行从攻击者控制的服务器发送的命令以捕获屏幕截图、枚举文件系统和目录、下载文件以及从系统中删除文件的功能。

进一步调查该事件的 G DATA 研究员 Karsten Hahn表示：“[SnipVex] 在剪贴板中搜索类似于 BTC 地址的内容，并将其替换为攻击者的地址，这样加密货币交易就会转移给攻击者。”

但有趣的是，该恶意软件利用压缩功能感染 .EXE 文件，并在文件末尾使用感染标记序列 0x0A 0x0B 0x0C，以避免再次感染文件。迄今为止，该钱包地址已收到 9.30857859 BTC（约合 97.4 万美元）。

Procolored 随后承认，这些软件包于 2024 年 10 月通过 USB 驱动器上传至 Mega 文件托管服务，并且恶意软件可能在此过程中被引入。目前，软件下载仅适用于 F13 Pro、VF13 Pro 和 V11 Pro 产品。

Hahn 指出：“该恶意软件的命令与控制服务器自 2024 年 2 月起就处于离线状态。因此，XRed 不可能在此日期之后成功建立远程连接。伴随的 ClipBanker 病毒 SnipVex 仍然是一个严重的威胁。尽管 BTC 地址的交易已于 2024 年 3 月 3 日停止，但文件感染本身会损坏系统。”

原文始发于微信公众号（犀牛安全）：RVTools 官方网站遭黑客入侵，通过木马安装程序传播 Bumblebee 恶意软件