RVTools Bumblebee
A ZeroDay Labs jelentése szerint egy szoftverellátási láncot érintő támadás során a népszerű RVTools VMware-adminisztrációs segédprogram egyik telepítőcsomagját a Bumblebee nevű kártevővel fertőzték meg. A Microsoft Defender riasztása alapján a telepítés során egy version.dll nevű fájl próbált meg végrehajtódni, amelyet a rendszer gyanúsnak ítélt. A fájl elemzése során kiderült, hogy egy Bumblebee malware variánst tartalmazott, amelyet több víruskereső motor is észlelt.
A fertőzött telepítőcsomag metaadatai szokatlan és zavaró információkat tartalmaztak, például a Hydrarthrus eredeti fájlnévként, valamint értelmetlen leírásokat, amelyek célja valószínűleg az elemzés megnehezítése volt. Az RVTools hivatalos weboldalán található letöltési linkről származó fájl mérete és hash értéke nem egyezett meg a korábban közzétett tiszta verzióval, ami arra utal, hogy a weboldalt kompromittálták, és a fertőzött fájlt terjesztették. A gyanús fájl észlelése után az RVTools weboldala rövid időre elérhetetlenné vált, majd visszatérésekor a letöltési fájl mérete és hash értéke ismét megfelelt a tiszta verziónak, ami arra utal, hogy a fertőzött fájlt eltávolították.
A Bumblebee malware egy kifinomult loader, amelyet gyakran használnak kezdeti hozzáférés megszerzésére, és amely képes további kártékony programok, például Cobalt Strike vagy zsarolóvírusok letöltésére és futtatására. A támadás során a Bumblebee a version.dll fájlon keresztül próbálta meg végrehajtani a kártékony kódot.
