Instalador de RVTools comprometido que propaga el malware Bumblebee

Recientemente se descubrió que RVTools, una herramienta ampliamente utilizada para administrar sistemas VMware , proporcionaba software dañino a los usuarios. Aidan Leon, investigador de seguridad, alertó en una entrada de blog de ZeroDayLabs tras descubrir un instalador comprometido de RVTools en su sitio web oficial.

El problema se reveló el jueves 15 de mayo de 2025, cuando el equipo de seguridad de Leon detectó un archivo sospechoso, version.dll, que intentaba ejecutarse desde un instalador de RVTools. Esto ocurrió mientras un empleado intentaba instalar la utilidad.

Según se informa, la versión infectada se subió por primera vez el lunes 12 de mayo de 2025, lo que sugiere que el sitio web fue comprometido entre las 8:00 y las 11:00 de ese día. El sitio web oficial dejó de estar disponible posteriormente y reapareció con una versión limpia de la descarga. Sin embargo, el viernes 16 de mayo de 2025, el sitio volvió a estar fuera de servicio sin explicación alguna.

Microsoft Defender para Endpoint detectó rápidamente la actividad. Investigaciones posteriores confirmaron que el instalador malicioso provenía del sitio web oficial de RVTools, Robware.net. Además, Leon descubrió que el instalador de RVTools infectado era considerablemente más grande que su versión legítima. Además, contenía un hash de archivo que no coincidía con la versión limpia que figuraba en el sitio oficial.

El análisis del archivo en VirusTotal, un servicio que busca contenido malicioso, confirmó la gravedad: 33 de 71 motores antivirus lo identificaron como una variante del cargador de malware Bumblebee , un malware conocido por su papel en la obtención de acceso inicial para los cibercriminales, a menudo allanando el camino para ransomware o marcos de ataque avanzados.

El archivo malicioso incluso incluía detalles inusuales y deliberadamente confusos en sus metadatos, como "Hydrarthrus" como nombre de archivo original y descripciones extrañas como "elephanta ungroupable clyfaker gutturalness" para el producto. Estos términos crípticos, como se indica en un informe de ZeroDay Labs, se utilizaron para distraer del verdadero propósito dañino del archivo.

Una hora después de enviar el archivo malicioso a VirusTotal , las detecciones públicas se dispararon. Esto coincidió con la caída temporal del sitio web de RVTools. Al reabrirse, el archivo descargado había cambiado, ahora de menor tamaño y con el hash oficial y seguro. Este rápido cambio sugería claramente una vulneración breve pero específica del canal de distribución del software.

Las preocupaciones de seguridad no se limitan al sitio web oficial. Una advertencia en el sitio web legítimo de RVTools desaconseja descargar el software de otras fuentes. Esta recomendación es crucial, ya que una simple búsqueda en línea de "descarga de RVTools" muestra un sitio web similar, rvtoolsorg , como el primer resultado. Este sitio falso, que afirma ser oficial, también ofrece un instalador malicioso de RVTools.

El incidente demuestra la necesidad de tener precaución al descargar software, incluso de fuentes legítimas. Las organizaciones que instalen RVTools deben verificar la integridad del instalador comprobando los hashes de los archivos y detectando actividad inusual, especialmente la ejecución de " version.dll " desde los directorios de usuario.