Этот очаровательный принтер поставляется с вредоносным ПО для кражи биткоинов

Этот очаровательный принтер поставляется с вредоносным ПО для кражи биткоинов

Бренд принтеров Procolored непреднамеренно включал вредоносное ПО в свое официальное программное обеспечение в течение примерно шести месяцев. Полное воздействие этого инцидента пока неизвестно, хотя клиенты должны принять меры, чтобы убедиться, что их машины не заражены.

Procolored занимает прочные позиции в нише УФ-печати, прямой печати на одежде (DTG) и прямой печати на пленке (DTF). Ее продукция стоит несколько тысяч долларов и в первую очередь ориентирована на владельцев малого бизнеса, которые хотят печатать на футболках, наклейках или другой одежде в больших масштабах.

Сообщения о вредоносных драйверах Procolored начали появляться в сообществах Reddit в начале этого года. Тем не менее, проблема не привлекала особого внимания до 13 мая, когда YouTuber Cameron Coward (Serial Hobbyism) опубликовал свой обзор принтера Procolored стоимостью 7 тыс. долларов на Hackster.io. Coward столкнулся с предупреждениями антивируса Windows Defender при попытке загрузить поставляемое производителем программное обеспечение для принтера Procolored UV — один пакет содержал вирус Floxif, а другой был помечен как червь.

Естественно, Ковард обратился за поддержкой к Procolored. Но ему сказали, что Windows Defender допустил ошибку. Поэтому он попросил сторонних аналитиков, включая Карстена Хана, главного исследователя вредоносного ПО в G DATA CyberDefense, просмотреть файлы. Аналитики пришли к выводу, что 39 файлов, распространяемых через страницу распространения файлов Mega компании Procolored, были завалены вредоносным ПО XRedRAT и SnipVex.

XRedRat — известный вирус, позволяющий злоумышленникам получать удаленный доступ к зараженным машинам. Он может делать снимки экрана, регистрировать нажатия клавиш, просматривать содержимое жесткого диска, а также манипулировать файлами или удалять их. Однако эта версия XRedRat больше не способна обеспечивать удаленное подключение, поскольку ее бэкэнд отключился в феврале 2024 года, задолго до того, как Procolored начала распространять зараженные пакеты программного обеспечения.

Этот очаровательный принтер поставляется с вредоносным ПО для кражи биткоинов

SnipVex немного интереснее — это ранее неизвестная вредоносная программа-клипер, которая распространяется по машинам или сетям, заражая исполняемые файлы. Попав на машину, она перенаправляет криптовалютные транзакции на вредоносный адрес Bitcoin, который затем отмывает деньги, чтобы уменьшить отслеживаемость. Этот адрес получил в общей сложности 9.30 Bitcoin, что составляет около 100 тыс. долларов США, хотя транзакции прекратились 3 марта 2024 года.

Любопытно, что аналитики не обнаружили вредоносное ПО Floxif на странице загрузок Procolored. Кэмерон Ковард столкнулся с Floxif при установке программного обеспечения с USB-накопителя, предоставленного Procolored, поэтому это несоответствие может быть связано с различиями между версиями исполняемого программного обеспечения.

В любом случае, Floxif и XRedRat — известные вирусы, которые должны быть помечены любым компетентным антивирусным программным обеспечением. Карстен Хан считает, что наличие этих вирусов является признаком крайне низкой кибербезопасности в Procolored. Он считает, что сотрудники компании использовали зараженные машины для загрузки официальных пакетов программного обеспечения, тем самым распространяя инфекцию среди клиентов.

Нет никаких доказательств преднамеренного неправомерного действия со стороны Procolored. Если бы компания хотела взломать компьютеры клиентов или перехватить транзакции BitCoin, она бы не использовала для этого устаревшие вредоносные программы. XRedRat и SnipVex больше не предоставляют удаленный доступ или функционал кражи Bitcoin. Их единственная оставшаяся функция — саморепликация.

Procolored удалила свою страницу загрузки программного обеспечения и начала внутреннее расследование 8 мая. Теперь компания признает, что случайно распространила вредоносное ПО, и ее официальное объяснение заключается в том, что «программное обеспечение, размещенное на нашем сайте, изначально было передано через USB-накопители… возможно, во время этого процесса был занесен вирус». Страница загрузок Procolored снова заработала несколько дней назад, и сторонние аналитики подтверждают, что ее программные пакеты теперь свободны от вредоносного ПО.

Этот очаровательный принтер поставляется с вредоносным ПО для кражи биткоинов

Тем не менее, эта история не внушает доверия Procolored. Компания не смогла защитить себя от основных угроз кибербезопасности и невольно отправляла вредоносное ПО клиентам в течение почти шести месяцев. Я также склонен указать на интересную сноску в обзоре Кэмерона Коварда: «Я обращался в службу поддержки Procolored четыре раза в ходе моего тестирования, чтобы получить помощь в определении программного обеспечения и настроек. Каждый раз агент несколько раз просил меня разрешить им удаленно подключиться к моему компьютеру».

Опять же, это старое вредоносное ПО легко обнаруживается Защитником Windows и другими антивирусными решениями. Большая проблема здесь в том, что клиенты Procolored могли проигнорировать предупреждения антивируса при настройке принтера или установке новых драйверов. Если вы приобрели устройство Procolored после ноября 2024 года, проверьте, нет ли исключений в вашем антивирусном программном обеспечении — исключение для Visual C++ или PrintExp может указывать на заражение.

Ваше антивирусное ПО должно быть способно удалить инфекции XRedRat и Floxif, но SnipVex был обнаружен только неделю назад, поэтому он может остаться незамеченным. Вам нужно будет отформатировать диски и переустановить операционную систему, чтобы избавиться от инфекции — SnipVex больше не может красть биткоины, но он повредит ваш ПК посредством репликации. Я предлагаю пострадавшим клиентам прочитать отчет Карстена Хана на G Data Cybersecurity, в котором содержатся некоторые подробности, которые могут помочь в восстановлении файлов.

Мы обратились в Procolored за заявлением и обновим эту статью, если получим ответ.

Источник: Hackster.io и G DATA CyberDefense через BleepingComputer

Валентин Павлов/ автор статьи
Страсть Влентина к играм началась с Resident Evil, и с тех пор он не переставал играть в хоррор-игры. Пишет экспертные руководства для самых сложных игр и обзоры для самых громких релизов. Является магистром журналистики и имеет степень бакалавра лингвистики. Любимые игры: GTA 5, Silent Hill 2, Call of Duty: Modern Warfare 2, Heavy Rain, Metro 2033 и другие.
Понравилась статья? Поделиться с друзьями:
Добавить комментарий