O utilitário RVTools, amplamente utilizado para relatórios de ambientes VMware, tornou-se alvo de um ataque cibernético que comprometeu seu site oficial. O instalador disponível na plataforma foi adulterado para distribuir o malware Bumblebee, segundo descobertas recentes de especialistas em segurança.
RVTools hackeado é usado para espalhar malware Bumblebee em golpe digital
A empresa responsável, Robware, confirmou que seus domínios oficiais — robware.net e rvtools.com — foram temporariamente retirados do ar após a identificação da ameaça. Em nota, a equipe informou que está trabalhando ativamente para restaurar os serviços, reforçando que esses são os únicos canais autorizados para baixar o software RVTools. Usuários foram alertados para não confiar em fontes alternativas.
Malware oculto em DLL
A descoberta da ameaça partiu do pesquisador Aidan Leon, que identificou que o instalador malicioso estava carregando uma DLL trojanizada, permitindo o sideloading do Bumblebee, um conhecido carregador de malware. Até o momento, não há clareza sobre o tempo em que a versão corrompida ficou disponível nem sobre o número de usuários afetados antes da retirada do site do ar.
Recomenda-se que os usuários verifiquem o hash do instalador e investiguem qualquer instância da execução da version.dll nos diretórios de seus usuários, como medida preventiva.
Casos semelhantes expõem cadeia de suprimentos
O incidente com o RVTools ocorre pouco depois da revelação de outro caso preocupante: softwares distribuídos com impressoras Procolored foram encontrados com backdoor XRed e o malware SnipVex.
Esses pacotes maliciosos foram descobertos inicialmente pelo youtuber Cameron Coward, do canal Serial Hobbyism, e analisados por especialistas como Karsten Hahn, da G DATA.
O XRed, ativo desde pelo menos 2019, possui capacidades como keylogging, captura de telas, propagação via USB, execução remota de comandos e extração de arquivos do sistema. Já o SnipVex, por sua vez, é um clipper projetado para substituir endereços de carteira de criptomoeda copiados para a área de transferência, desviando os valores para o invasor.
Estratégias furtivas e impacto financeiro
Segundo Hahn, o malware SnipVex também infecta arquivos .EXE, inserindo neles uma marca de infecção com os bytes 0x0A 0x0B 0x0C para evitar reinfecção. Estima-se que o endereço BTC utilizado tenha recebido mais de 9 BTC, o equivalente a cerca de US$ 974 mil até o momento.
A empresa Procolored reconheceu que os softwares foram carregados em outubro de 2024 em pen drives e posteriormente enviados para o serviço Mega, onde o malware pode ter sido introduzido. Atualmente, os downloads estão limitados a alguns modelos específicos como F13 Pro, VF13 Pro e V11 Pro.
Apesar de o servidor C2 do XRed ter sido desativado em fevereiro de 2024, o SnipVex ainda representa um risco sério devido à sua capacidade de manipular transações financeiras e danificar arquivos locais.
