HackerNews 编译,转载请注明出处:
RVTools的官方网站遭到黑客攻击,开始提供被篡改的流行VMware环境报告工具的安装程序。
“Robware.net和RVTools.com目前处于离线状态。我们正在紧急恢复服务,感谢您的耐心等待,”该公司在其网站上发布的声明中表示,“Robware.net和RVTools.com是唯一授权且受支持的RVTools软件下载网站。请勿从任何其他网站或来源搜索或下载所谓的RVTools软件。”
这一事件源于安全研究员Aidan Leon的披露:从该网站下载的受感染安装程序版本被用于侧载一个恶意DLL,该DLL最终被证实是名为Bumblebee的已知恶意软件加载器。目前尚不清楚这个被植入木马的RVTools版本可供下载的时间有多长,也不清楚在该网站下线前有多少用户安装了该版本。在此期间,建议用户验证安装程序的哈希值,并检查用户目录中任何version.dll的执行情况。
此次曝光恰逢另一事件:Procolored打印机提供的官方软件被发现包含一个基于Delphi的后门程序XRed,以及名为SnipVex的剪贴板劫持恶意软件。后者能够将剪贴板中的钱包地址替换为硬编码的攻击者地址。YouTube频道Serial Hobbyism的运营者Cameron Coward最早发现了这些恶意活动细节。
据信至少从2019年就开始活跃的XRed具备收集系统信息、记录键盘输入、通过连接的USB设备传播,以及执行来自攻击者控制服务器的命令(用于截取屏幕截图、枚举文件系统和目录、下载文件、删除系统文件)等功能。G DATA研究员Karsten Hahn对此事件进行了深入调查后指出:“[SnipVex]会搜索剪贴板中类似BTC地址的内容,并将其替换为攻击者的地址,从而使加密货币交易资金被转移到攻击者手中。”
值得注意的是,该恶意软件通过向.EXE文件注入剪贴板劫持功能进行传播,并在文件末尾使用感染标记序列0x0A 0x0B 0x0C以避免重复感染。截至目前,相关钱包地址已收到9.30857859 BTC(约合97.4万美元)。
Procolored公司承认,这些软件包是2024年10月通过USB设备上传至Mega文件托管服务的,恶意软件可能在此过程中被植入。目前仅限F13 Pro、VF13 Pro和V11 Pro产品提供软件下载。Hahn补充说明:“自2024年2月以来,该恶意软件的指挥控制服务器一直处于离线状态。因此XRed在此日期之后无法建立成功的远程连接。但与之配套的剪贴板银行木马SnipVex仍是严重威胁。尽管BTC地址在2024年3月3日之后未再收到交易,文件感染本身仍会对系统造成损害。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
