Китайский производитель принтеров Procolored распространял вредоносное ПО, крадущее Bitcoin, вместе со своими официальными драйверами, согласно сообщениям местных СМИ.
Китайское новостное издание Landian News сообщило 19 мая, что компания Procolored, базирующаяся в Шэньчжэне, распространяла вредоносное ПО, крадущее Bitcoin (BTC), вместе с официальными драйверами. Сообщается, что компания использовала USB-драйверы для распространения зараженного вредоносным ПО программного обеспечения и загрузила скомпрометированное ПО в облачное хранилище для глобальной загрузки.
Согласно отчёту, было украдено в общей сложности 9.3 BTC на сумму более 953 000 долларов США. Крипто-трекинговая и комплаенс-компания Slow Mist описала, как работает вредоносное ПО в посте от 19 мая на X:
“Официальный драйвер, предоставляемый этим принтером, содержит бэкдор-программу. Он перехватывает адрес кошелька в буфере обмена пользователя и заменяет его адресом злоумышленника.”
YouTuber обнаружил вредоносное ПО в драйверах Procolored
Landian News рекомендовало пользователям, которые загружали драйверы принтеров Procolored за последние шесть месяцев, “немедленно выполнить полное сканирование системы антивирусным программным обеспечением”. Тем не менее, учитывая непостоянный характер работы антивирусного ПО, полное сброс системы всегда является лучшим вариантом, если есть сомнения:
“В идеале следует переустановить операционную систему и тщательно проверить старые файлы.”
Проблема была якобы впервые обнаружена YouTuber Cameron Coward, чьё антивирусное программное обеспечение обнаружило вредоносное ПО в драйверах при тестировании UV-принтера Procolored. Программное обеспечение поместило драйвер как содержащий червя и троянский вирус под названием Foxif.
Компания по кибербезопасности подтвердила вредоносное ПО, крадущее криптовалюту
При обращении к ней компания Procolored отрицала обвинения и отклонила пометку драйверов антивирусным ПО как ложное срабатывание. Coward обратился к Reddit, где поделился проблемой с профессионалами в области кибербезопасности, привлекая внимание компании G-Data.
Расследование G-Data показало, что большинство драйверов Procolored размещены на файлообменном сервисе MEGA, с загрузками, датируемыми октябрём 2023 года. Анализ этих файлов подтвердил, что они были скомпрометированы двумя различными типами вредоносного ПО: бэкдор Win32.Backdoor.XRedRAT.A и крипто-стилер, предназначенный для подмены адресов в буфере обмена адресами, контролируемыми злоумышленником.
G-Data связалась с Procolored, которая заявила, что удалила заражённые драйверы из своего хранилища 8 мая и повторно просканировала все файлы. Procolored объяснила вредоносное ПО компрометацией цепочки поставок, заявив, что вредоносные файлы были внедрены через заражённые USB-устройства перед загрузкой в сеть.
