RVTools 官网遭入侵，被用于分发携带 Bumblebee 恶意软件的篡改安装包

2025-11-26 21:30:53分类：物联网阅读(484)

VMware 环境报告工具 RVTools 的官改安官方网站遭黑客入侵，其安装程序被植入恶意代码。网遭安全研究人员 Aidan Leon 发现，入侵软件从该网站下载的被用受感染安装程序会侧加载一个恶意 DLL 文件，经确认是于分已知的 Bumblebee 恶意软件加载器 。

官方回应与风险提示

RVTools 开发商在官网声明中表示："Robware.net 和 RVTools.com 目前处于离线状态。发携我们正在紧急恢复服务，云计算的篡感谢您的恶意耐心等待 。"并特别强调  ："Robware.net 和 RVTools.com 是装包 RVTools 软件唯一授权和支持的网站 。请勿从其他任何网站或来源搜索或下载所谓的官改安 RVTools 软件
。"

目前尚不清楚篡改版安装程序可供下载的网遭时间持续了多久，服务器租用以及网站在下线前有多少用户安装了该恶意软件。入侵软件安全专家建议用户在过渡期间验证安装程序的被用哈希值 ，并检查用户目录中 version.dll 文件的于分执行情况 。

打印机软件曝出双重恶意威胁

此次事件曝光之际，发携安全研究人员还发现 Procolored 打印机配套官方软件存在两个恶意组件：

基于 Delphi 的后门程序 XRed剪贴板劫持恶意软件 SnipVex，能够将剪贴板中的钱包地址替换为硬编码的香港云服务器攻击者地址

YouTube 频道 Serial Hobbyism 的运营者 Cameron Coward 最先发现了这一恶意活动。据调查  ，XRed 后门至少自 2019 年就开始活跃，具有收集系统信息
、记录键盘输入 、通过 USB 设备传播等功能，并能执行攻击者服务器下发的指令，包括截取屏幕、亿华云枚举文件系统 、下载/删除文件等。

恶意软件运作机制

G DATA 研究员 Karsten Hahn 深入分析后发现："[SnipVex] 会扫描剪贴板中类似 BTC 地址的内容 ，将其替换为攻击者的地址
，从而劫持加密货币交易 。"该恶意软件采用独特机制 ：在感染 .EXE 文件时会在文件末尾添加感染标记序列 0x0A 0x0B 0x0C 以避免重复感染。截至调查时，相关钱包地址已收到 9.30857859 BTC（约合 97.4 万美元）。高防服务器

厂商回应与现状

Procolored 公司承认，2024 年 10 月通过 USB 设备将软件包上传至 Mega 文件托管服务时可能引入了恶意代码。目前仅限 F13 Pro 、VF13 Pro 和 V11 Pro 产品提供软件下载。Hahn 指出："恶意软件的 C2（命令与控制）服务器自 2024 年 2 月起已离线 ，因此 XRed 在此日期后无法建立远程连接
。但剪贴板劫持病毒 SnipVex 仍是严重威胁——虽然 BTC 地址在 2024 年 3 月 3 日后未再收到转账，但文件感染本身仍会破坏系统。免费模板"