Il programma di installazione RVTools compromesso diffonde il malware Bumblebee

RVTools, uno strumento ampiamente utilizzato per la gestione dei sistemi VMware , è stato recentemente scoperto mentre distribuiva software dannoso agli utenti. Un ricercatore di sicurezza, Aidan Leon, ha lanciato l'allarme in un post sul blog di ZeroDayLabs dopo aver scoperto un programma di installazione compromesso per RVTools sul suo sito web ufficiale.

Il problema è emerso giovedì 15 maggio 2025, quando il team di sicurezza di Leon ha rilevato un file sospetto, version.dll, che tentava di essere eseguito da un programma di installazione di RVTools. Questo è accaduto durante il tentativo di un dipendente di installare l'utilità.

Secondo quanto riferito, la versione infetta è stata caricata per la prima volta lunedì 12 maggio 2025, il che suggerisce che il sito web sia stato compromesso tra le 8:00 e le 11:00 di quel giorno. Il sito web ufficiale è poi andato offline, per poi riapparire con una versione pulita del download. Tuttavia, venerdì 16 maggio 2025, il sito è tornato offline senza alcuna spiegazione.

Microsoft Defender for Endpoint ha segnalato rapidamente l'attività. Ulteriori indagini hanno confermato che il programma di installazione dannoso proveniva dal sito web ufficiale di RVTools, Robware.net. Inoltre, Leon ha scoperto che il programma di installazione di RVTools infetto era notevolmente più grande della sua controparte legittima. Conteneva anche un hash del file che non corrispondeva alla versione pulita elencata sul sito ufficiale.

L'analisi del file su VirusTotal, un servizio che verifica la presenza di contenuti dannosi, ne ha confermato la gravità: 33 su 71 motori antivirus lo hanno identificato come una variante del malware loader Bumblebee , un malware noto per il suo ruolo nell'ottenere l'accesso iniziale ai criminali informatici, aprendo spesso la strada a ransomware o a framework di attacco avanzati.

Il file dannoso presentava persino dettagli insoliti e volutamente confusi nei suoi metadati, come "Hydrarthrus" come nome originale del file e strane descrizioni come "elephanta ungroupable clyfaker gutturalness" per il prodotto. Questi termini criptici, come riportato in un rapporto di ZeroDay Labs, sono stati utilizzati per distrarre dal vero scopo dannoso del file.

Nel giro di un'ora dall'invio del file dannoso a VirusTotal , le rilevazioni pubbliche sono aumentate vertiginosamente. Questo ha coinciso con la temporanea disattivazione del sito web di RVTools. Al suo ritorno, il file scaricato era cambiato, ora più piccolo e con l'hash ufficiale e sicuro. Questa rapida modifica suggeriva fortemente una compromissione breve ma mirata del canale di distribuzione del software.

I problemi di sicurezza non si limitano al sito web ufficiale. Un avviso sul sito legittimo di RVTools sconsiglia di scaricare il software da altre fonti. Questo consiglio è fondamentale, poiché una semplice ricerca online di "RVTools download" mostra attualmente un sito web simile, rvtoolsorg , come primo risultato. Questo sito falso, che si spaccia per ufficiale, offre anche un programma di installazione di RVTools dannoso.

L'incidente dimostra la necessità di cautela nel download di software, anche da fonti legittime. Le organizzazioni che installano RVTools dovrebbero verificare l'integrità del programma di installazione controllando gli hash dei file e rilevando attività insolite, in particolare l'esecuzione di " version.dll " dalle directory utente.