Офіційний сайт RVTools, популярної утиліти для моніторингу та аналізу віртуальної інфраструктури VMware, було зламано. У результаті ресурс поширював троянізований інсталятор, що містить завантажувач малварі Bumblebee.

RVTools, початково розроблена компанією Robware, а тепер належить Dell, являє собою утиліту для Windows, призначену для комплексного моніторингу та аналізу віртуальної інфраструктури середовищ VMware vSphere.

Першим на компрометацію установника звернув увагу ІБ-дослідник Ейдан Леон (Aidan Leon) із ZeroDay Labs. За його словами, заражену версію установника використовували для бічного завантаження шкідливої бібліотеки DLL (VirusTotal), яка містила відомий завантажувач малварі Bumblebee.

Крім того, аналітики компанії Arctic Wolf попереджають, що троянізовані установники RVTools поширюються і через тайпсквотингові домени. Ймовірно, такі ресурси просуваються за допомогою отруєння SEO та шкідливої реклами.

“Нещодавно Arctic Wolf помітила поширення троянізованого інсталятора RVTools через шкідливий тайпсквотинговий домен. Домен відповідає легітимному, проте використовує домен верхнього рівня .org замість .com”, – пишуть експерти.

Наразі невідомо, як довго троянська версія RVTools була доступна для скачування, і скільки користувачів встигли її встановити.

“Robware.net і RVTools.com наразі не працюють. Ми працюємо над відновленням роботи сервісів і вдячні вам за проявлене терпіння, – йдеться в офіційній заяві розробників. – Robware.net і RVTools.com – єдині авторизовані та підтримувані сайти для програмного забезпечення RVTools. Не шукайте і не завантажуйте програмне забезпечення RVTools з інших сайтів і джерел”.

Користувачам рекомендується перевіряти хеш інсталятора і стежити за запуском файлу version.dll у користувацьких каталогах.