RVToolsの公式サイトがハッキングされ、人気のあるVMware環境報告ユーティリティの改ざんされたインストーラーを提供しています。
「Robware.netとRVTools.comは現在オフラインです。サービスの復旧に向けて迅速に対応しており、ご理解を賜りますようお願い申し上げます」と、会社はウェブサイトに掲載した声明で述べました。
「Robware.netとRVTools.comは、RVToolsソフトウェアの唯一の公式かつサポートされたウェブサイトです。他のウェブサイトやソースからRVToolsソフトウェアを検索またはダウンロードしないでください。」
この事態は、セキュリティ研究者のAidan Leonが、ウェブサイトからダウンロードされたインストーラーの感染バージョンが、悪意のあるDLLをサイドロードするために使用されており、それがBumblebeeと呼ばれる既知のマルウェアローダーであることを明らかにした後に発生しました。
トロイの木馬化されたRVToolsのバージョンがどれくらいの期間ダウンロード可能だったのか、またサイトがオフラインになる前にどれだけの人がそれをインストールしたのかは現在不明です。
その間、ユーザーにはインストーラーのハッシュを確認し、ユーザーディレクトリからのversion.dllの実行を確認することが推奨されています。
この開示は、Procoloredプリンターに付属する公式ソフトウェアに、XRedと呼ばれるDelphiベースのバックドアと、クリップボード内のウォレットアドレスをハードコーディングされたアドレスに置き換えることができるSnipVexというクリッパーマルウェアが含まれていることが明らかになった際に行われました。
悪意のある活動の詳細は、YouTubeチャンネルSerial Hobbyismを運営するCameron Cowardによって最初に発見されました。
少なくとも2019年から活動していると考えられるXRedは、システム情報の収集、キーストロークの記録、接続されたUSBドライブを介した拡散、攻撃者が制御するサーバーから送信されたコマンドの実行によるスクリーンショットのキャプチャ、ファイルシステムとディレクトリの列挙、ファイルのダウンロード、システムからのファイルの削除などの機能を備えています。
「[SnipVex]は、BTCアドレスに似た内容をクリップボードで検索し、攻撃者のアドレスに置き換えることで、暗号通貨の取引が攻撃者に転送されるようにします」と、事件をさらに調査したG DATAの研究者Karsten Hahnが述べました。
しかし、興味深いことに、マルウェアは.EXEファイルにクリッパー機能を感染させ、再感染を避けるためにファイルの末尾に感染マーカーシーケンス – 0x0A 0x0B 0x0C – を使用します。問題のウォレットアドレスには、これまでに9.30857859 BTC(約974,000ドル)が送金されています。
Procoloredは、その後、ソフトウェアパッケージが2024年10月にUSBドライブを介してMegaファイルホスティングサービスにアップロードされ、このプロセス中にマルウェアが導入された可能性があることを認めました。ソフトウェアのダウンロードは現在、F13 Pro、VF13 Pro、V11 Pro製品のみで利用可能です。
「マルウェアのコマンドアンドコントロールサーバーは2024年2月以来オフラインです」とHahnは指摘しました。「したがって、XRedがその日以降にリモート接続を確立することは不可能です。付随するクリップバンカウイルスSnipVexは依然として深刻な脅威です。BTCアドレスへの取引は2024年3月3日に停止しましたが、ファイル感染自体がシステムに損害を与えます。」
翻訳元: https://thehackernews.com/2025/05/rvtools-official-site-hacked-to-deliver.html