VMware 環境報告工具 RVTools 的官方網站遭黑客入侵，其安裝程序被植入惡意代碼。安全研究人員 Aidan Leon 發現，從該網站下載的受感染安裝程序會側加載一個惡意 DLL 文件，經確認是已知的 Bumblebee 惡意軟件加載器。

官方回應與風險提示

RVTools 開發商在官網聲明中表示："Robware.net 和 RVTools.com 目前處于離線狀態。我們正在緊急恢復服務，感謝您的耐心等待。"并特別強調："Robware.net 和 RVTools.com 是 RVTools 軟件唯一授權和支持的網站。請勿從其他任何網站或來源搜索或下載所謂的 RVTools 軟件。"

目前尚不清楚篡改版安裝程序可供下載的時間持續了多久，以及網站在下線前有多少用戶安裝了該惡意軟件。安全專家建議用戶在過渡期間驗證安裝程序的哈希值，并檢查用戶目錄中 version.dll 文件的執行情況。

打印機軟件曝出雙重惡意威脅

此次事件曝光之際，安全研究人員還發現 Procolored 打印機配套官方軟件存在兩個惡意組件：

1. 基于 Delphi 的后門程序 XRed
2. 剪貼板劫持惡意軟件 SnipVex，能夠將剪貼板中的錢包地址替換為硬編碼的攻擊者地址

YouTube 頻道 Serial Hobbyism 的運營者 Cameron Coward 最先發現了這一惡意活動。據調查，XRed 后門至少自 2019 年就開始活躍，具有收集系統信息、記錄鍵盤輸入、通過 USB 設備傳播等功能，并能執行攻擊者服務器下發的指令，包括截取屏幕、枚舉文件系統、下載/刪除文件等。

惡意軟件運作機制

G DATA 研究員 Karsten Hahn 深入分析后發現："[SnipVex] 會掃描剪貼板中類似 BTC 地址的內容，將其替換為攻擊者的地址，從而劫持加密貨幣交易。"該惡意軟件采用獨特機制：在感染 .EXE 文件時會在文件末尾添加感染標記序列 0x0A 0x0B 0x0C 以避免重復感染。截至調查時，相關錢包地址已收到 9.30857859 BTC（約合 97.4 萬美元）。

廠商回應與現狀

Procolored 公司承認，2024 年 10 月通過 USB 設備將軟件包上傳至 Mega 文件托管服務時可能引入了惡意代碼。目前僅限 F13 Pro、VF13 Pro 和 V11 Pro 產品提供軟件下載。Hahn 指出："惡意軟件的 C2（命令與控制）服務器自 2024 年 2 月起已離線，因此 XRed 在此日期后無法建立遠程連接。但剪貼板劫持病毒 SnipVex 仍是嚴重威脅——雖然 BTC 地址在 2024 年 3 月 3 日后未再收到轉賬，但文件感染本身仍會破壞系統。"