Procolored’s Malware Controversy
Ifølge lokale medier har den kinesiske printerproducent Procolored distribueret Bitcoin-stjælende malware sammen med sine officielle drivere. Den 19. maj rapporterede det kinesiske nyhedsmedie Landian News, at det Shenzhen-baserede firma Procolored har distribueret malware kaldet “View More” sammen med sine officielle drivere.
Ifølge rapporten er der blevet anvendt USB-drivere til at sprede malware-inficerede drivere, som blev uploaded til cloud-lagring for global download. I alt er der blevet stjålet 9,3 BTC, hvilket svarer til over $953.000.
Kryptoovervågnings- og compliance-firmaet Slow Mist beskrev i et indlæg på X den 19. maj, hvordan malwaren fungerer: “Den officielle driver leveret af denne printer indeholder et bagdørsprogram, der vil kapre wallet-adressen i brugerens udklipsholder og erstatte den med angriberens adresse.”
Anbefalinger til brugere
Landian News anbefalede brugere, der har downloadet Procolored-printerdrivere i de seneste seks måneder, til straks at “foretage en fuld systemscanning med antivirussoftware.” Givet den tilfældige karakter af antivirussoftware, er en fuld systemnulstilling dog altid en bedre mulighed, når man er i tvivl: “Ideelt set bør du geninstallere dit operativsystem og grundigt tjekke gamle filer.”
Oprindelsen af problemet
Problemet blev angiveligt først rapporteret af YouTuber Cameron Coward, hvis antivirussoftware opdagede malware i driverne, mens han testede en Procolored UV-printer. Softwaren markerede drevet som indeholdende en orm og en trojansk virus ved navn Foxif.
Ved henvendelse benægtede Procolored anklagerne og afviste antivirusværktøjets markering af driverne som falsk positiv. Coward delte sit fund på Reddit, hvor han fik opmærksomhed fra cybersikkerhedsprofessionelle, hvilket førte til en undersøgelse fra cybersikkerhedsfirmaet G-Data.
G-Datas efterforskning viste, at de fleste Procolored-drivere blev hostet på filhosting-tjenesten MEGA, og at uploads strakte sig helt tilbage til oktober 2023. Analysen af disse filer bekræftede, at de var kompromitteret af to forskellige typer malware: bagdør Win32.Backdoor.XRedRAT.A og en kryptovaluta-stjæler designet til at erstatte adresser i udklipsholderen med dem, der kontrolleres af angriberen.
Procolored’s respons
G-Data kontaktede Procolored, og hardwareproducenten oplyste, at de havde slettet de inficerede drivere fra sin server den 8. maj og gen-scannet alle filer. Procolored tilskrev malwaren et kompromis i forsyningskæden og meddelte, at de ondsindede filer blev introduceret gennem inficerede USB-enheder, inden de blev uploaded online.
