Un programme d'installation RVTools compromis propage le malware Bumblebee

RVTools, un outil largement utilisé pour la gestion des systèmes VMware , a récemment été découvert comme fournissant des logiciels malveillants aux utilisateurs. Aidan Leon, chercheur en sécurité, a tiré la sonnette d'alarme dans un article de blog sur ZeroDayLabs après avoir découvert un installateur compromis pour RVTools sur son site web officiel.

Le problème a été découvert le jeudi 15 mai 2025, lorsque l'équipe de sécurité de Leon a détecté un fichier suspect, version.dll, tentant de s'exécuter depuis un installateur RVTools. L'incident s'est produit alors qu'un employé tentait d'installer l'utilitaire.

Selon certaines informations, la version infectée aurait été téléchargée pour la première fois le lundi 12 mai 2025, ce qui suggère que le site web a été compromis entre 8 h et 11 h ce jour-là. Le site officiel a ensuite été mis hors ligne, puis réapparu avec une version saine du téléchargement. Cependant, le vendredi 16 mai 2025, le site était de nouveau hors ligne sans explication.

Microsoft Defender for Endpoint a rapidement signalé l'activité. Une enquête plus approfondie a confirmé que le programme d'installation malveillant provenait du site web officiel de RVTools, Robware.net. De plus, Leon a constaté que le programme d'installation RVTools infecté était sensiblement plus volumineux que son homologue légitime. Il contenait également un hachage de fichier différent de la version propre répertoriée sur le site officiel.

L'analyse du fichier sur VirusTotal, un service qui vérifie le contenu malveillant, a confirmé la gravité : 33 moteurs antivirus sur 71 l'ont identifié comme une variante du chargeur de malware Bumblebee - un malware connu pour son rôle dans l'obtention d'un accès initial pour les cybercriminels, ouvrant souvent la voie à des ransomwares ou à des cadres d'attaque avancés.

Le fichier malveillant comportait même des informations inhabituelles et délibérément confuses dans ses métadonnées, comme « Hydrarthrus » comme nom de fichier original et des descriptions étranges comme « elephanta ungroupable clyfaker gutturalness » pour le produit. Ces termes cryptiques, comme l'indique un rapport de ZeroDay Labs, ont été utilisés pour détourner l'attention du véritable objectif malveillant du fichier.

Moins d'une heure après la soumission du fichier malveillant à VirusTotal , les détections publiques ont explosé. Cette situation a coïncidé avec la mise hors ligne temporaire du site web RVTools. À sa réouverture, le fichier téléchargé avait été modifié : il était désormais plus petit et correspondait au hachage officiel et sécurisé. Cette modification rapide suggérait fortement une compromission brève mais ciblée du canal de distribution du logiciel.

Les problèmes de sécurité ne se limitent pas au site web officiel. Un avertissement sur le site officiel de RVTools déconseille de télécharger le logiciel depuis d'autres sources. Ce conseil est crucial, car une simple recherche en ligne avec « téléchargement RVTools » affiche actuellement un site web similaire, rvtoolsorg , en tête des résultats. Ce faux site, qui se prétend officiel, propose également un installateur RVTools malveillant.

Cet incident illustre la nécessité de faire preuve de prudence lors du téléchargement de logiciels, même à partir de sources légitimes. Les organisations qui installent RVTools doivent vérifier l'intégrité du programme d'installation en vérifiant les hachages de fichiers et en détectant toute activité inhabituelle, notamment l'exécution de « version.dll » à partir des répertoires utilisateur.