Instalador RVTools comprometido espalhando malware Bumblebee
Uma ferramenta amplamente utilizada para gerenciar sistemas VMware , o RVTools, foi recentemente descoberta distribuindo softwares nocivos aos usuários. O pesquisador de segurança Aidan Leon soou o alarme em uma publicação no blog do ZeroDayLabs após descobrir um instalador comprometido do RVTools em seu site oficial.
O problema veio à tona na quinta-feira, 15 de maio de 2025, quando a equipe de segurança de Leon detectou um arquivo suspeito, version.dll, tentando ser executado a partir de um instalador do RVTools. Isso aconteceu durante a tentativa de um funcionário de instalar o utilitário.
A versão infectada teria sido publicada pela primeira vez na segunda-feira, 12 de maio de 2025, sugerindo que o site foi comprometido entre 8h e 11h daquele dia. O site oficial posteriormente saiu do ar e reapareceu com uma versão limpa do download. No entanto, na sexta-feira, 16 de maio de 2025, o site estava fora do ar novamente sem explicação.
O Microsoft Defender for Endpoint rapidamente sinalizou a atividade. Investigações posteriores confirmaram que o instalador malicioso se originou do site oficial do RVTools, Robware.net. Além disso, Leon descobriu que o instalador infectado do RVTools era visivelmente maior do que sua versão legítima. Ele também continha um hash de arquivo que não correspondia à versão limpa listada no site oficial.
A análise do arquivo no VirusTotal, um serviço que verifica conteúdo malicioso, confirmou a gravidade: 33 de 71 mecanismos antivírus o identificaram como uma variante do carregador de malware Bumblebee , um malware conhecido por seu papel em obter acesso inicial para criminosos cibernéticos, muitas vezes abrindo caminho para ransomware ou estruturas de ataque avançadas.
O arquivo malicioso ainda continha detalhes incomuns e deliberadamente confusos em seus metadados, como "Hydrarthrus" como nome original do arquivo e descrições estranhas como "elephanta ungroupable clyfaker gutturalness" para o produto. Esses termos enigmáticos, conforme observado em um Relatório do ZeroDay Labs, foram usados como uma distração do verdadeiro propósito nocivo do arquivo.
Uma hora após o arquivo malicioso ter sido enviado ao VirusTotal , as detecções públicas do mesmo aumentaram exponencialmente. Isso coincidiu com a saída temporária do site RVTools do ar. Quando o site retornou, o arquivo baixado havia sido alterado, agora menor e correspondendo ao hash oficial e seguro do arquivo. Essa rápida mudança sugeriu fortemente um comprometimento breve, porém direcionado, do canal de distribuição do software.
As preocupações com a segurança não se limitam ao site oficial. Um aviso no site legítimo do RVTools desaconselha o download do software de outras fontes. Essa recomendação é crucial, pois uma simples busca online por "download do RVTools" atualmente mostra um site semelhante, rvtoolsorg , como o principal resultado. Esse site falso, que afirma ser oficial, também oferece um instalador malicioso do RVTools.
O incidente demonstra a necessidade de cautela ao baixar software, mesmo de fontes legítimas. Organizações que instalam o RVTools devem verificar a integridade do instalador verificando os hashes dos arquivos e detectando atividades incomuns, especialmente a execução de " version.dll " a partir de diretórios de usuários.
HackRead
