O utilitário RVTools, amplamente utilizado por administradores VMware, foi alvo de um ataque à cadeia de suprimentos que distribuiu uma versão trojanizada com o malware Bumblebee. O software comprometido estava disfarçado de instalador legítimo e era distribuído por domínios falsos que imitavam os sites oficiais do projeto.
Leia também
IA soberana é o próximo desafio em tecnologia
Fornecedor de IA diz resolver alucinações
A Dell, atual responsável pelo RVTools, afirma que os sites legítimos — Robware.net e RVTools.com — não foram comprometidos, mas sim alvos de ataques de negação de serviço (DDoS). A empresa afirma que os arquivos maliciosos não foram disponibilizados nesses portais, mas sim por sites de type-squatting. Ambos os domínios foram tirados do ar como medida de precaução.
O pesquisador Aidan Leon, do ZeroDay Labs, contesta essa versão, alegando que observou pessoalmente o site RVTools entregar um instalador malicioso no início de maio. Segundo ele, houve uma discrepância no hash dos arquivos e a presença de um arquivo version.dll malicioso detectado como carregador do Bumblebee.
A Arctic Wolf também detectou distribuidores do malware por meio de domínios com nomes semelhantes ao oficial, mas com TLDs diferentes, como “.org” em vez de “.com”. O malware Bumblebee é conhecido por facilitar a instalação de cargas adicionais, como ransomware e ferramentas de espionagem, sendo associado a grupos como Conti, Black Basta e Royal.
Usuários que instalaram o RVTools recentemente devem verificar o arquivo no VirusTotal para identificar possíveis contaminações. Caso seja detectado o Bumblebee, é fundamental iniciar uma análise de comprometimento em toda a rede afetada.
