Компания-производитель принтеров Procolored в течение шести месяцев выпускала драйверы с вредоносным программным обеспечением в виде трояна удалённого доступа и похитителя криптовалюты. В частности, вредоносное ПО содержали драйверы для моделей F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro.
Основанная в 2018 году Procolored выпускает принтеры DTF, UV DTF, UV и DTG. Компания из Шэньчжэня известна своими продуктами для печати на тканях. Она продаёт принтеры в более чем 31 стране, включая США.
YouTube-блогер Кэмерон Ковард, известный как Serial Hobbyism, обнаружил вредоносное ПО, когда его антивирус предупредил о наличии USB-червя Floxif на ПК во время установки драйверов и другого софта для принтера V11 Pro стоимостью $7 тыс. Троян Floxif способен создавать несанкционированные точки доступа внутри системы, открывая возможности для удалённого управления и выполнения вредоносных действий.
Исследование специалистов ИБ-компании G Data показало, что официальные программные пакеты Procolored поставляли вредоносное ПО минимум полгода. При обращении Коварда компания отрицала наличие вредоносного ПО, указывая на ложное срабатывание антивируса. Блогер отметил, что во время попыток загрузить и распаковать на USB-накопитель файлы с драйверами ПК отправлял их в карантин.
Список файлов на Mega.nz
Специалист G Data Карстен Хан выяснил, что драйверы минимум для шести моделей принтеров Procolored содержали вредоносное ПО. Производитель размещает программные пакеты на платформе обмена файлами Mega, предлагая прямую загрузку драйверов оттуда.
Процесс заражения SnipVex
Хан обнаружил 39 файлов, заражённых XRedRAT и SnipVex. XRedRAT — это известное вредоносное ПО, ранее проанализированное eSentire. Среди возможностей XRedRAT кейлоггинг, захват экрана, удалённый доступ к оболочке и управление файлами. SnipVex — это ранее не документированная вредоносная программа-клипер, которая заражает файлы .exe, внедряется в них и заменяет BTC-адреса в буфере обмена. На момент анализа файлы в последний раз обновляли в октябре 2024 года.
Отвечающий за замену BTC-адресов код в буфере обмена
По данным Хана, на используемый SnipVex BTC-адрес поступило около 9,308 биткоина, что по сегодняшнему обменному курсу составляет почти $1 млн.
Procolored удалила программные пакеты 8 мая и начала внутреннее расследование. После обращения G Data китайская компания призналась, что загрузила файлы на Mega.nz при помощи USB-накопителя, который мог быть заражён Floxif. Драйверы вернутся на платформу только после проведения строгих проверок на вирусы и безопасность ПО.
Источник: habr.com
