تعرض الموقع الرسمي لأداة RVTools – الأداة الشهيرة لإعداد التقارير في بيئات VMware – للاختراق لتوزيع نسخة ضارة من البرنامج تحتوي على برمجية Bumblebee الخبيثة.
رد فعل الشركة المطورة:
-
أعلنت شركة Robware المطورة للأداة عن تعطيل كلا الموقعين Robware.net و RVTools.com مؤقتًا
-
حذرت المستخدمين من تحميل البرنامج من أي مصادر أخرى غير هذه المواقع الرسمية
-
تعمل الفرق الفنية على استعادة الخدمة بأسرع وقت ممكن
كيفية عمل الهجوم:
كشف الباحث الأمني Aidan Leon أن:
-
المثبت المخترق كان يحمل DLL ضارًا يقوم بتحميل برمجية Bumblebee الخبيثة
-
Bumblebee هي عبارة عن حملة تحميل برمجيات خبيثة معروفة
-
لا يزال المدى الزمني للاختراق وعدد الضحايا غير معروف
نصائح أمنية للمستخدمين:
-
التحقق من بصمة الملف (Hash) لأي نسخة من RVTools قبل التثبيت
-
مراقبة أي تنفيذ لملف version.dll من مجلدات المستخدمين
-
تجنب تحميل البرنامج من أي مصادر غير موثوقة
هجوم متوازي: برمجيات خبيثة في طابعات Procolored
في تطور منفصل، اكتشف الباحث Cameron Coward أن:
-
البرامج الرسمية المرفقة مع طابعات Procolored تحتوي على:
-
باب خلفي مكتوب بلغة Delphi يُعرف باسم XRed
-
برمجية SnipVex التي تقوم بتغيير عناوين المحافظ الرقمية في الحافظة
-
قدرات XRed:
-
جمع معلومات النظام
-
تسجيل ضغطات لوحة المفاتيح
-
الانتشار عبر وحدات USB المتصلة
-
تنفيذ أوامر من خادم المهاجم
آلية عمل SnipVex:
-
تبحث في الحافظة عن عناوين بتكوين وتستبدلها بعناوين المهاجم
-
تصيب ملفات EXE وتضع علامة عدوى لتجنب إعادة الإصابة
-
المحفظة المستهدفة تلقت ما يقارب 9.3 BTC (حوالي 974,000 دولار)
رد فعل الشركة المصنعة للطابعات:
أقرت Procolored بأن:
-
البرامج الملوثة تم رفعها على منصة Mega في أكتوبر 2024
-
العدوى ربما حدثت أثناء عملية النقل عبر وحدات USB
-
حالياً تتوفر التنزيلات الآمنة فقط لموديلات F13 Pro و VF13 Pro و V11 Pro
الوضع الحالي:
-
خادم التحكم والقيادة (C2) الخاص بـ XRed غير نشط منذ فبراير 2024
-
برمجية SnipVex لا تزال تشكل تهديداً خطيراً
-
آخر عملية تحويل إلى محفظة المهاجم كانت في 3 مارس 2024
توصيات أمنية:
-
الحذر عند تحميل البرامج من المواقع الرسمية
-
فحص جميع الملفات التنفيذية قبل التثبيت
-
تحديث حلول مكافحة الفيروسات بانتظام
-
مراقبة حركة الشبكة للكشف عن أي اتصالات مشبوهة
