Kompromittiertes RVTools-Installationsprogramm verbreitet Bumblebee-Malware
Kürzlich wurde festgestellt, dass RVTools, ein weit verbreitetes Tool zur Verwaltung von VMware-Systemen , schädliche Software an Benutzer verteilt. Sicherheitsforscher Aidan Leon schlug in einem Blogbeitrag auf ZeroDayLabs Alarm, nachdem er auf der offiziellen Website ein kompromittiertes Installationsprogramm für RVTools entdeckt hatte.
Das Problem trat am Donnerstag, dem 15. Mai 2025, ans Licht, als Leons Sicherheitsteam eine verdächtige Datei namens version.dll entdeckte, die von einem RVTools-Installationsprogramm ausgeführt werden sollte. Dies geschah, als ein Mitarbeiter versuchte, das Dienstprogramm zu installieren.
Berichten zufolge wurde die infizierte Version erstmals am Montag, dem 12. Mai 2025, hochgeladen. Dies deutet darauf hin, dass die Website an diesem Tag zwischen 8 und 11 Uhr kompromittiert wurde. Die offizielle Website ging später offline und erschien dann mit einer sauberen Version des Downloads wieder. Am Freitag, dem 16. Mai 2025, war die Website jedoch ohne Erklärung wieder offline.
Microsoft Defender für Endpunkt meldete die Aktivität umgehend. Weitere Untersuchungen bestätigten, dass das bösartige Installationsprogramm von der offiziellen RVTools-Website Robware.net stammte. Leon stellte außerdem fest, dass das infizierte RVTools-Installationsprogramm deutlich größer war als sein legitimes Gegenstück. Es enthielt außerdem einen Datei-Hash, der nicht mit der auf der offiziellen Website aufgeführten sauberen Version übereinstimmte.
Die Analyse der Datei auf VirusTotal, einem Dienst zur Überprüfung auf schädliche Inhalte, bestätigte den Schweregrad: 33 von 71 Antiviren-Engines identifizierten sie als eine Variante des Malware-Loaders Bumblebee – eine Malware, die dafür bekannt ist, Cyberkriminellen den ersten Zugriff zu verschaffen und so oft den Weg für Ransomware oder fortgeschrittene Angriffs-Frameworks zu ebnen.
Die schädliche Datei enthielt sogar ungewöhnliche und absichtlich verwirrende Details in ihren Metadaten, wie beispielsweise „Hydrarthrus“ als ursprünglichen Dateinamen und seltsame Beschreibungen wie „elephanta ungroupable clyfaker gutturalness“ für das Produkt. Diese kryptischen Begriffe dienten, wie in einem Bericht von ZeroDay Labs erwähnt, dazu, vom wahren schädlichen Zweck der Datei abzulenken.
Innerhalb einer Stunde, nachdem die schädliche Datei bei VirusTotal eingereicht wurde, stiegen die öffentlichen Erkennungen sprunghaft an. Dies fiel mit der vorübergehenden Offline-Schaltung der RVTools-Website zusammen. Als die Website wieder verfügbar war, hatte sich die heruntergeladene Datei geändert: Sie war nun kleiner und entsprach dem offiziellen, sicheren Datei-Hash. Diese schnelle Änderung deutete stark auf eine kurze, aber gezielte Beeinträchtigung des Vertriebskanals der Software hin.
Die Sicherheitsbedenken beschränken sich nicht nur auf die offizielle Website. Eine Warnung auf der legitimen RVTools-Website rät davon ab, die Software von anderen Quellen herunterzuladen. Dieser Hinweis ist wichtig, da eine einfache Online-Suche nach „RVTools-Download“ derzeit als erstes Ergebnis eine ähnliche Website, rvtoolsorg , anzeigt. Diese gefälschte Website, die angeblich offiziell ist, bietet ebenfalls ein schädliches RVTools-Installationsprogramm an.
Der Vorfall zeigt, wie wichtig beim Herunterladen von Software, selbst aus legitimen Quellen, Vorsicht ist. Unternehmen, die RVTools installieren, sollten die Integrität des Installationsprogramms überprüfen, indem sie Datei-Hashes prüfen und ungewöhnliche Aktivitäten erkennen, insbesondere die Ausführung von „ version.dll “ aus Benutzerverzeichnissen.
HackRead
