RVTools es una utilidad gratuita para Windows que ayuda a los administradores
a recopilar y analizar información de entornos VMware vSphere, en concreto:
información sobre máquinas virtuales y hosts, almacenes de datos, discos y
tarjetas de interfaz de red virtuales, redes y conmutadores virtuales, e
instantáneas de máquinas virtuales. Originalmente desarrollada por Rob de Veij
y posteriormente adquirida por Dell Technologies, RVTools goza de una larga
reputación en el ecosistema de VMware, lo que explica en parte por qué los
distribuidores de malware atacan constantemente a los usuarios que la buscan
en línea.
Usualmente, los delincuentes utilizan dominios similares y anuncios
maliciosos de Google para engañar a los usuarios y que descarguen malware
haciéndose pasar por RVTools. Pero esta vez, al parecer, también han logrado
comprometer el sitio web oficial de la herramienta.
El sitio oficial de RVTools aparentemente había sido hackeado para ofrecer un
instalador comprometido de la popular utilidad, según advirtió un investigador
de seguridad. Es difícil determinar cuánto tiempo lleva disponible la versión
maliciosa para su descarga, pero el sitio web ha estado inactivo desde el
viernes y comenzó a mostrar el siguiente aviso durante el fin de semana:
Los sitios web legítimos, Robware.net y RVTools.com, han sido
objeto de recientes ataques de denegación de servicio (DOS). Como medida de
precaución, los administradores los desactivaron temporalmente.
«Hemos identificado sitios web falsos diseñados para imitar nuestros sitios
web y que podrían estar distribuyendo malware. «Para el software RVTools, los únicos sitios administrados por Dell son
Robware.net y RVTools.com. Los clientes no deben buscar ni descargar
software RVTools supuestamente de otros sitios web o fuentes».
El investigador de seguridad
Aidan Leon dio la voz de alarma. Un empleado había intentado instalar RVTools y a los pocos minutos de
iniciar el instalador, Defender detectó un archivo sospechoso:
version.dll, que intentaba ejecutarse desde el mismo directorio que el
propio instalador.
Al comprobar el archivo con VirusTotal parece que la variante de RVTools se
envió por primera vez el lunes (12/5), lo que me lleva a creer que el sitio
web se vio comprometido por primera vez ese mismo lunes entre las 8:00 y las
11:00. Alrededor de las 15:00 del martes, el sitio web fue desactivado y se
volvió a subir una versión segura de RVTools.
VirusTotal afirma que el instalador malicioso contiene el cargador de malware Bumblebee, utilizado frecuentemente por actores de amenazas para obtener
acceso inicial y distribuir cargas útiles de ransomware y marcos de
post-explotación.
Una simple búsqueda en Google o DuckDuck de muestra rvtools[.]org,
un dominio y sitio web similar a RVTools que se autoproclama oficial, como
primer resultado (¡no como un anuncio!). Según VirusTotal, el instalador de
RVTools que se ofrece para descargar en ese sitio es malicioso.
Desafortunadamente, los sitios siguen inaccesibles. Si realmente debe
descargar RVTools antes de volver a estar en línea, asegúrese de verificar que
el hash del instalador legítimo.
Fuente:
HelpNetSecurity