RVTools es una utilidad gratuita para Windows que ayuda a los administradores a recopilar y analizar información de entornos VMware vSphere, en concreto: información sobre máquinas virtuales y hosts, almacenes de datos, discos y tarjetas de interfaz de red virtuales, redes y conmutadores virtuales, e instantáneas de máquinas virtuales. Originalmente desarrollada por Rob de Veij y posteriormente adquirida por Dell Technologies, RVTools goza de una larga reputación en el ecosistema de VMware, lo que explica en parte por qué los distribuidores de malware atacan constantemente a los usuarios que la buscan en línea.
Usualmente, los delincuentes utilizan dominios similares y anuncios maliciosos de Google para engañar a los usuarios y que descarguen malware haciéndose pasar por RVTools. Pero esta vez, al parecer, también han logrado comprometer el sitio web oficial de la herramienta.
El sitio oficial de RVTools aparentemente había sido hackeado para ofrecer un instalador comprometido de la popular utilidad, según advirtió un investigador de seguridad. Es difícil determinar cuánto tiempo lleva disponible la versión maliciosa para su descarga, pero el sitio web ha estado inactivo desde el viernes y comenzó a mostrar el siguiente aviso durante el fin de semana:
Los sitios web legítimos, Robware.net y RVTools.com, han sido objeto de recientes ataques de denegación de servicio (DOS). Como medida de precaución, los administradores los desactivaron temporalmente. "Hemos identificado sitios web falsos diseñados para imitar nuestros sitios web y que podrían estar distribuyendo malware. "Para el software RVTools, los únicos sitios administrados por Dell son Robware.net y RVTools.com. Los clientes no deben buscar ni descargar software RVTools supuestamente de otros sitios web o fuentes".
El investigador de seguridad Aidan Leon dio la voz de alarma. Un empleado había intentado instalar RVTools y a los pocos minutos de iniciar el instalador, Defender detectó un archivo sospechoso: version.dll, que intentaba ejecutarse desde el mismo directorio que el propio instalador.
Al comprobar el archivo con VirusTotal parece que la variante de RVTools se envió por primera vez el lunes (12/5), lo que me lleva a creer que el sitio web se vio comprometido por primera vez ese mismo lunes entre las 8:00 y las 11:00. Alrededor de las 15:00 del martes, el sitio web fue desactivado y se volvió a subir una versión segura de RVTools.
VirusTotal afirma que el instalador malicioso contiene el cargador de malware Bumblebee, utilizado frecuentemente por actores de amenazas para obtener acceso inicial y distribuir cargas útiles de ransomware y marcos de post-explotación.
Una simple búsqueda en Google o DuckDuck de muestra rvtools[.]org, un dominio y sitio web similar a RVTools que se autoproclama oficial, como primer resultado (¡no como un anuncio!). Según VirusTotal, el instalador de RVTools que se ofrece para descargar en ese sitio es malicioso.
Desafortunadamente, los sitios siguen inaccesibles. Si realmente debe descargar RVTools antes de volver a estar en línea, asegúrese de verificar que el hash del instalador legítimo.
Fuente: HelpNetSecurity