RVTools выжал всё из доверия пользователей и добавил каплю Bumblebee в каждый инсталлятор
Компрометация официального сайта обернулась тихой установкой вредоноса.
Хакеры взломали официальный сайт утилиты RVTools — популярного инструмента для работы с виртуальной инфраструктурой VMware — и разместили на нём вредоносную версию установщика. Сайт Robware.net, а также RVTools.com были временно отключены. Разработчики заявили, что работают над восстановлением ресурсов и настоятельно порекомендовали не скачивать утилиту с любых других источников.
Об инциденте стало известно благодаря исследователю безопасности Айдану Леону. Он обнаружил, что скачанный с сайта RVTools установщик содержит DLL-библиотеку «version.dll», при помощи которой происходит загрузка известного вредоноса Bumblebee — инструмента, широко применяемого киберпреступниками в начальной фазе атак, включая доставку шифровальщиков и Cobalt Strike. Как долго вредоносная версия была доступна для скачивания и сколько пользователей её установили — пока остаётся неизвестным.
Пока официальные ресурсы остаются офлайн, пользователям советуют сверять контрольные суммы установщиков RVTools и проверять, не выполнялась ли библиотека «version.dll» из пользовательских директорий — признак возможной компрометации.
Подобные случаи подчёркивают, насколько уязвимыми остаются даже официальные программные продукты, если их распространение и контроль целостности не сопровождаются строгими процедурами безопасности.