Underc0de

El sitio web oficial de RVTools, la popular utilidad de generación de informes para entornos VMware, ha sido hackeado para distribuir un instalador malicioso. Esta versión troyanizada se utilizaba para entregar Bumblebee, un conocido cargador de malware, lo que ha encendido las alarmas en la comunidad de ciberseguridad.

Sitios oficiales comprometidos: robware.net y rvtools.com

En una declaración publicada brevemente antes de que los sitios fueran desconectados, la empresa responsable de RVTools informó:

Citar"Robware.net y RVTools.com están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y agradecemos su paciencia."

También advirtieron que:

Citar"Robware.net y RVTools.com son los únicos sitios web autorizados y compatibles con el software RVTools. No busque ni descargue el supuesto software de RVTools de ningún otro sitio web o fuente".

El instalador malicioso de RVTools descarga Bumblebee

La infección fue descubierta por el investigador de seguridad Aidan Leon, quien identificó que la versión comprometida del instalador de RVTools descargaba una DLL maliciosa, que luego ejecutaba Bumblebee, un cargador de malware utilizado frecuentemente como puerta de entrada a ataques más complejos, incluyendo ransomware.

Aún no se ha determinado cuánto tiempo estuvo disponible la versión maliciosa ni cuántos usuarios llegaron a descargarla antes de que el sitio fuera desconectado.

Recomendaciones para usuarios de RVTools

Se insta a todos los usuarios a:

• Verificar el hash del instalador de RVTools descargado recientemente.
• Revisar cualquier ejecución sospechosa de version.dll dentro de los directorios de usuario.

Estas medidas pueden ayudar a detectar posibles infecciones asociadas al malware Bumblebee y evitar consecuencias más graves.

Otro caso grave: software de impresoras Procolored con malware XRed y SnipVex

Simultáneamente, se ha revelado que el software oficial incluido con impresoras Procolored también estaba comprometido. En este caso, se descubrieron dos tipos de malware:

• XRed, una puerta trasera escrita en Delphi, activa desde al menos 2019.
• SnipVex, un clipper malicioso que reemplaza direcciones de criptomonedas en el portapapeles.

Los hallazgos fueron publicados por el youtuber Cameron Coward (Serial Hobbyism) y luego ampliados por el investigador de G DATA, Karsten Hahn.

Funcionalidades del backdoor XRed

XRed es capaz de:

• Registrar pulsaciones de teclas.
• Recopilar información del sistema.
• Propagarse mediante dispositivos USB conectados.
• Ejecutar comandos remotos desde un servidor de comando y control (C2).
• Tomar capturas de pantalla y manipular archivos.

Aunque el servidor C2 de XRed está inactivo desde febrero de 2024, el malware aún representa una amenaza significativa.

SnipVex: el malware que roba criptomonedas

SnipVex monitorea el portapapeles en busca de direcciones de criptomonedas (por ejemplo, Bitcoin) y las reemplaza por una dirección controlada por los atacantes. De forma alarmante:

• La dirección BTC utilizada ha recibido más de 9.3 BTC (unos 974.000 USD).
• SnipVex infecta archivos .EXE, insertando un marcador específico (0x0A 0x0B 0x0C) al final, para evitar una reinfección.
• Aunque el malware dejó de recibir transacciones desde el 3 de marzo de 2024, las infecciones siguen activas y afectan la integridad del sistema operativo.

Procolored reconoce compromiso en sus paquetes de software

La empresa Procolored confirmó que los paquetes infectados fueron cargados en MEGA en octubre de 2024 a través de unidades USB. En la actualidad, las descargas oficiales están limitadas a los siguientes productos:

• F13 Pro
• VF13 Pro
• V11 Pro

Aunque el servidor de control de XRed ya no está operativo, los archivos comprometidos con SnipVex siguen representando una amenaza para los usuarios.

Verificación y precaución son claves

La reciente oleada de compromisos en software legítimo, desde RVTools hasta Procolored, destaca la necesidad crítica de:

• Verificar las fuentes oficiales antes de descargar software.
• Analizar los instaladores con herramientas antivirus y hashes de verificación.
• Revisar comportamientos sospechosos, como la ejecución de DLLs inesperadas o cambios en el portapapeles.

Tanto administradores de sistemas como usuarios finales deben mantenerse alerta ante estas tácticas de distribución de malware cada vez más sofisticadas, que se aprovechan de herramientas confiables para infiltrarse en entornos corporativos y personales.

Fuente: https://thehackernews.com/