当前位置: 首页 > news >正文

RVTools 官网遭入侵,被用于分发携带 Bumblebee 恶意软件的篡改安装包

image

VMware 环境报告工具 RVTools 的官方网站遭黑客入侵,其安装程序被植入恶意代码。安全研究人员 Aidan Leon 发现,从该网站下载的受感染安装程序会侧加载一个恶意 DLL 文件,经确认是已知的 Bumblebee 恶意软件加载器。

官方回应与风险提示

RVTools 开发商在官网声明中表示:"Robware.net 和 RVTools.com 目前处于离线状态。我们正在紧急恢复服务,感谢您的耐心等待。"并特别强调:"Robware.net 和 RVTools.com 是 RVTools 软件唯一授权和支持的网站。请勿从其他任何网站或来源搜索或下载所谓的 RVTools 软件。"

目前尚不清楚篡改版安装程序可供下载的时间持续了多久,以及网站在下线前有多少用户安装了该恶意软件。安全专家建议用户在过渡期间验证安装程序的哈希值,并检查用户目录中 version.dll 文件的执行情况。

打印机软件曝出双重恶意威胁

此次事件曝光之际,安全研究人员还发现 Procolored 打印机配套官方软件存在两个恶意组件:

  1. 基于 Delphi 的后门程序 XRed
  2. 剪贴板劫持恶意软件 SnipVex,能够将剪贴板中的钱包地址替换为硬编码的攻击者地址

YouTube 频道 Serial Hobbyism 的运营者 Cameron Coward 最先发现了这一恶意活动。据调查,XRed 后门至少自 2019 年就开始活跃,具有收集系统信息、记录键盘输入、通过 USB 设备传播等功能,并能执行攻击者服务器下发的指令,包括截取屏幕、枚举文件系统、下载/删除文件等。

恶意软件运作机制

G DATA 研究员 Karsten Hahn 深入分析后发现:"[SnipVex] 会扫描剪贴板中类似 BTC 地址的内容,将其替换为攻击者的地址,从而劫持加密货币交易。"该恶意软件采用独特机制:在感染 .EXE 文件时会在文件末尾添加感染标记序列 0x0A 0x0B 0x0C 以避免重复感染。截至调查时,相关钱包地址已收到 9.30857859 BTC(约合 97.4 万美元)。

厂商回应与现状

Procolored 公司承认,2024 年 10 月通过 USB 设备将软件包上传至 Mega 文件托管服务时可能引入了恶意代码。目前仅限 F13 Pro、VF13 Pro 和 V11 Pro 产品提供软件下载。Hahn 指出:"恶意软件的 C2(命令与控制)服务器自 2024 年 2 月起已离线,因此 XRed 在此日期后无法建立远程连接。但剪贴板劫持病毒 SnipVex 仍是严重威胁——虽然 BTC 地址在 2024 年 3 月 3 日后未再收到转账,但文件感染本身仍会破坏系统。"

相关文章:

  • SUI批量转账几种方法介绍
  • 谈谈对《加密算法》的理解
  • PyTorch中单卡训练、DataParallel(DP)和DistributedDataParallel(DDP)
  • 如何自己建设网站?
  • 第6章 C控制语句:循环
  • Java转Go日记(四十三):Gorm事务
  • 反射在spring boot自动配置的应用
  • HTML应用指南:利用POST请求获取全国申通快递服务网点位置信息
  • 基于Java的校园失物招领系统【附源码】
  • AI预测3D新模型百十个定位预测+胆码预测+去和尾2025年5月20日第83弹
  • Python----循环神经网络(WordEmbedding词嵌入)
  • Java中的ImageIo支持webp解析
  • java中的Filter使用详解
  • Leetcode 01 java
  • 预先学习:构建智能系统的 “未雨绸缪” 之道
  • 杰发科技AC7840——如何把结构体数据写到Dflash中
  • 【NLP 76、Faiss 向量数据库】
  • 珈和科技贺李德仁院士荣膺国际数字地球学会会士:以时空智能赋能可持续发展目标 绘就数字地球未来蓝图
  • 【神经网络与深度学习】扩散模型之通俗易懂的解释
  • HarmonyOS5云服务技术分享--ArkTS调用函数
  • 建行原副行长章更生涉嫌受贿罪、违法发放贷款罪被逮捕
  • 顶刊论文现“飙脏话辱骂第二作者”,期刊回应:正积极调查
  • 中方对美俄领导人就俄乌冲突进行通话有何评论?外交部回应
  • 王楚钦球拍检测环节受损,国际乒联发声明
  • 特朗普与普京就俄乌问题通话
  • 完善劳动关系协商协调机制,《共同保障劳动者合法权益工作指引》发布