VMware 環(huán)境報(bào)告工具 RVTools 的官方網(wǎng)站遭黑客入侵，其安裝程序被植入惡意代碼。安全研究人員 Aidan Leon 發(fā)現(xiàn)，從該網(wǎng)站下載的受感染安裝程序會側(cè)加載一個惡意 DLL 文件，經(jīng)確認(rèn)是已知的 Bumblebee 惡意軟件加載器。

　　官方回應(yīng)與風(fēng)險提示

　　RVTools 開發(fā)商在官網(wǎng)聲明中表示："Robware.net 和 RVTools.com 目前處于離線狀態(tài)。我們正在緊急恢復(fù)服務(wù)，感謝您的耐心等待。"并特別強(qiáng)調(diào)："Robware.net 和 RVTools.com 是 RVTools 軟件唯一授權(quán)和支持的網(wǎng)站。請勿從其他任何網(wǎng)站或來源搜索或下載所謂的 RVTools 軟件。"

　　目前尚不清楚篡改版安裝程序可供下載的時間持續(xù)了多久，以及網(wǎng)站在下線前有多少用戶安裝了該惡意軟件。安全專家建議用戶在過渡期間驗(yàn)證安裝程序的哈希值，并檢查用戶目錄中 version.dll 文件的執(zhí)行情況。

　　打印機(jī)軟件曝出雙重惡意威脅

　　此次事件曝光之際，安全研究人員還發(fā)現(xiàn) Procolored 打印機(jī)配套官方軟件存在兩個惡意組件：

　　基于 Delphi 的后門程序 XRed

　　剪貼板劫持惡意軟件 SnipVex，能夠?qū)⒓糍N板中的錢包地址替換為硬編碼的攻擊者地址

　　YouTube 頻道 Serial Hobbyism 的運(yùn)營者 Cameron Coward 最先發(fā)現(xiàn)了這一惡意活動。據(jù)調(diào)查，XRed 后門至少自 2019 年就開始活躍，具有收集系統(tǒng)信息、記錄鍵盤輸入、通過 USB 設(shè)備傳播等功能，并能執(zhí)行攻擊者服務(wù)器下發(fā)的指令，包括截取屏幕、枚舉文件系統(tǒng)、下載/刪除文件等。

　　惡意軟件運(yùn)作機(jī)制

　　G DATA 研究員 Karsten Hahn 深入分析后發(fā)現(xiàn)："[SnipVex] 會掃描剪貼板中類似 BTC 地址的內(nèi)容，將其替換為攻擊者的地址，從而劫持加密貨幣交易。"該惡意軟件采用獨(dú)特機(jī)制：在感染 .EXE 文件時會在文件末尾添加感染標(biāo)記序列 0x0A 0x0B 0x0C 以避免重復(fù)感染。截至調(diào)查時，相關(guān)錢包地址已收到 9.30857859 BTC(約合 97.4 萬美元)。

　　廠商回應(yīng)與現(xiàn)狀

　　Procolored 公司承認(rèn)，2024 年 10 月通過 USB 設(shè)備將軟件包上傳至 Mega 文件托管服務(wù)時可能引入了惡意代碼。目前僅限 F13 Pro、VF13 Pro 和 V11 Pro 產(chǎn)品提供軟件下載。Hahn 指出："惡意軟件的 C2(命令與控制)服務(wù)器自 2024 年 2 月起已離線，因此 XRed 在此日期后無法建立遠(yuǎn)程連接。但剪貼板劫持病毒 SnipVex 仍是嚴(yán)重威脅——雖然 BTC 地址在 2024 年 3 月 3 日后未再收到轉(zhuǎn)賬，但文件感染本身仍會破壞系統(tǒng)。"