Официальный сайт RVTools, популярной утилиты для мониторинга и анализа виртуальной инфраструктуры VMware, был взломан. В результате ресурс распространял троянизированный установщик, содержащий загрузчик малвари Bumblebee.
RVTools, исходно разработанная компанией Robware, а теперь принадлежащая Dell, представляет собой утилиту для Windows, предназначенную для комплексного мониторинга и анализа виртуальной инфраструктуры сред VMware vSphere.
Первым на компрометацию установщика обратил внимание ИБ-исследователь Эйдан Леон (Aidan Leon) из ZeroDay Labs. По его словам, зараженная версия установщика использовалась для боковой загрузки вредоносной библиотеки DLL (VirusTotal), которая содержала известный загрузчик малвари Bumblebee.
«Расследование выявило несоответствие между хешем файла, указанным на сайте RVTools, и реальным загружаемым файлом, — объясняет Леон. — Загруженная версия была значительно больше и содержала вредоносный файл version.dll. Более старые версии RVTools не содержали этого файла и соответствовали опубликованным хешам. Примерно через час после отправки нашего сообщения на VirusTotal количество публичных заявок выросло с 4 до 16. Примерно в это же время сайт RVTools был временно отключен. Когда он вернулся в онлайн, размер файла стал меньше, и хеш снова соответствует оригинальной версии, указанной на сайте».
Кроме того, аналитики компании Arctic Wolf предупреждают, что троянизированные установщики RVTools распространяются и через тайпсквоттинговые домены. Вероятно, такие ресурсы продвигаются с помощью отравления SEO и вредоносной рекламы.
«Недавно Arctic Wolf заметила распространение троянизированного установщика RVTools через вредоносный тайпсквоттинговый домен. Домен соответствует легитимному, однако использует домен верхнего уровня .org вместо .com», — пишут эксперты.
В настоящее время неизвестно, как долго троянская версия RVTools была доступна для скачивания, и сколько пользователей успели ее установить.
«Robware.net и RVTools.com в настоящее время не работают. Мы работаем над восстановлением работы сервисов и благодарны вам за проявленное терпение, — говорится в официальном заявлении разработчиков. — Robware.net и RVTools.com — единственные авторизованные и поддерживаемые сайты для программного обеспечения RVTools. Не ищите и не скачивайте программное обеспечение RVTools с других сайтов и источников».
Пользователям рекомендуется проверять хеш установщика и следить за запуском файла version.dll в пользовательских каталогах.
Bumblebee представляет собой загрузчик вредоносного ПО, который обычно распространяется при помощи отравления SEO, вредоносной рекламы и фишинговых атак. После установки эта малварь загружает и выполняет на машине жертвы дополнительную полезную нагрузку, например: маяки Cobalt Strike, инфостилеры или вымогательское ПО.
