Il sito ufficiale di RVTools, noto strumento per la gestione di ambienti VMware, è stato recentemente compromesso da un attacco informatico che ha portato alla distribuzione di un installer infetto. Gli utenti che hanno scaricato RVTools dal sito ufficiale si sono ritrovati con una versione trojanizzata del software, progettata per caricare un file DLL malevolo. Questo file, identificato come Bumblebee, è un loader di malware già noto nell’ambito della sicurezza informatica.

Risposta della società e raccomandazioni

La società ha prontamente disattivato i siti robware.net e rvtools.com per contenere l’attacco e ha raccomandato agli utenti di non scaricare il software da fonti alternative e non ufficiali. È ancora incerto da quanto tempo la versione infetta fosse disponibile per il download e quanti utenti siano stati colpiti prima della chiusura dei siti. Nel frattempo, si consiglia agli utenti di verificare l’hash degli installer già scaricati e di controllare l’esecuzione di version.dll nelle directory utente per identificare eventuali attività sospette.

Altre minacce alla supply chain

Questa vicenda si inserisce in un contesto più ampio di minacce alla supply chain, come dimostrato anche dal caso del software ufficiale fornito con alcune stampanti Procolored. In questo caso, il software includeva un backdoor sviluppato in Delphi, chiamato XRed, e un malware clipper denominato SnipVex. Quest’ultimo è capace di sostituire negli appunti gli indirizzi di portafogli Bitcoin con quello degli attaccanti, dirottando così le transazioni verso i criminali informatici. Il wallet coinvolto ha ricevuto ad oggi quasi 10 Bitcoin, per un controvalore di circa 974.000 dollari.

Dettagli tecnici sui malware individuati

Il malware SnipVex infetta anche file eseguibili (.exe), aggiungendo una sequenza identificativa alla fine dei file per evitare di infettarli più volte. Il comando e controllo del backdoor XRed risulta inattivo dal febbraio 2024, ma il clipper rappresenta ancora una minaccia concreta, poiché può compromettere ulteriormente i sistemi infettati.

Comunicazioni ufficiali e raccomandazioni di sicurezza

Dell Technologies, che gestisce i siti ufficiali di RVTools, ha dichiarato che la distribuzione del malware sarebbe avvenuta tramite siti falsi che imitavano quelli reali, mentre i siti legittimi sarebbero stati semplicemente soggetti a attacchi DDoS e chiusi per precauzione. L’azienda consiglia di scaricare solo dai domini ufficiali e di diffidare di qualsiasi altra fonte, ribadendo l’importanza di prestare attenzione durante il download di software, soprattutto di strumenti amministrativi e di gestione.