اختراق الموقع الرسمي لأداة RVTools لتوزيع برمجية Bumblebee الخبيثة

في حادثة جديدة تثير القلق في مجتمع الأمن السيبراني، تم اختراق الموقع الرسمي لأداة RVTools الشهيرة – المستخدمة في بيئات VMware – ليتم من خلاله نشر مثبت مزيف يحتوي على برمجية ضارة تُعرف باسم Bumblebee، وهي أداة تحميل برمجيات خبيثة متقدمة.

"Robware.net و RVTools.com حالياً غير متاحين بسبب الاختراق. نعمل بسرعة لاستعادة الخدمة ونُقدّر صبركم. لا تقم بتحميل الأداة من أي مصدر آخر غير هذين الموقعين."

تفاصيل الهجوم

الباحث الأمني Aidan Leon كان أول من كشف عن التهديد، حيث لاحظ أن نسخة RVTools المتاحة على الموقع الرسمي كانت تُستخدم لعملية Sideloading لمكتبة DLL خبيثة. تبين لاحقًا أنها نسخة من محمّل البرامج الضارة المعروف Bumblebee.

حتى الآن، لا توجد معلومات دقيقة حول مدة تواجد النسخة المخترقة على الموقع أو عدد الضحايا الذين قاموا بتحميلها قبل إيقاف تشغيل الموقع.

توصيات أمنية للمستخدمين

• التحقق من Hash أي ملف تثبيت تم تحميله سابقًا.
• مراقبة أي تنفيذ لملف version.dll ضمن مجلدات المستخدم، حيث قد يشير إلى نشاط ضار.

قضية موازية: برمجيات طابعة مصابة بـ Backdoor

في تطور منفصل، تم اكتشاف أن بعض برامج التشغيل الرسمية الخاصة بطابعات Procolored كانت تحتوي على باب خلفي مبرمج بلغة Delphi يُعرف باسم XRed، بالإضافة إلى برمجية Clipper تُدعى SnipVex.

الباحث Cameron Coward صاحب قناة Serial Hobbyism على يوتيوب، كان أول من لفت الانتباه لهذه البرمجيات الضارة.

البرمجية الخبيثة XRed قادرة على:

• جمع معلومات النظام وتسجيل ضغطات المفاتيح.
• الانتشار عبر أقراص USB المتصلة.
• تنفيذ أوامر عن بُعد تشمل تصوير الشاشة، تحميل/حذف ملفات، واستعراض الملفات والمجلدات.

SnipVex: سرقة العملات الرقمية

تقوم برمجية SnipVex بمراقبة الحافظة (Clipboard) لاستبدال عناوين المحافظ BTC بعنوان المهاجم. وقد تم حتى الآن جمع أكثر من 9.3 بيتكوين (ما يعادل تقريبًا 974,000 دولار).

وتتميز SnipVex بأنها تقوم بإصابة ملفات .EXE وتضيف علامة فريدة 0x0A 0x0B 0x0C في النهاية لتجنب تكرار الإصابة.

رغم أن خادم التحكم في XRed غير نشط منذ فبراير 2024، فإن العدوى ما تزال تُحدث ضررًا عبر SnipVex. توقفت التحويلات في مارس، ولكن الإصابة مستمرة.

المصدر: Hacker News | تحليل وتنسيق: المايسترو نيرو