Китайская компания Procolored, специализирующаяся на производстве принтеров, в течение как минимум шести месяцев распространяла драйверы, содержащие вредоносное программное обеспечение. В состав дистрибутивов входили троян для удалённого доступа и вредоносный клипер, похищающий криптовалюту. Вредоносные компоненты были обнаружены в драйверах для моделей F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro.
Procolored, основанная в 2018 году и базирующаяся в Шэньчжэне, производит принтеры форматов DTF, UV DTF, UV и DTG, предназначенные для печати на ткани. Продукция компании реализуется в более чем 30 странах, включая США.
Проблема стала известна благодаря YouTube-блогеру Кэмерону Коварду (Serial Hobbyism), чей антивирус среагировал на заражение при установке драйверов и утилит для модели V11 Pro стоимостью $7000. Сканер обнаружил присутствие USB-червя Floxif — вредоносной программы, способной создавать скрытые каналы доступа и управлять системой удалённо.
Позднее специалисты компании G Data провели собственное расследование, установив, что вредоносное ПО присутствовало в официальных дистрибутивах как минимум в течение полугода. В ответ на запрос Коварда представители Procolored сначала отрицали наличие заражения, заявив о ложных срабатываниях антивирусов. Однако загрузка драйверов вызывала срабатывание защиты, и файлы автоматически отправлялись в карантин.
Исследователь безопасности G Data Карстен Хан установил, что драйверы, размещённые на файлообменнике Mega, были заражены для как минимум шести моделей принтеров. Среди вредоносных компонентов он обнаружил 39 заражённых файлов, содержащих программы XRedRAT и SnipVex.
XRedRAT — это троян с возможностями кейлоггинга, удалённого управления системой, захвата экрана и манипуляции с файлами. SnipVex, напротив, оказался ранее неизвестной программой-клипером, подменяющей биткойн-адреса в буфере обмена и внедряющейся в исполняемые .exe-файлы. Последнее обновление заражённых файлов датировано октябрём 2024 года.
Анализ показал, что на биткойн-адрес, используемый SnipVex, поступило около 9,308 BTC — что по текущему курсу составляет почти 1 миллион долларов.
После уведомления от G Data компания Procolored 8 мая удалила заражённые дистрибутивы с платформы Mega и начала внутреннее расследование. Позднее производитель признал, что загрузка драйверов осуществлялась через USB-накопитель, предположительно заражённый Floxif. Возобновление размещения драйверов планируется только после проведения комплексной антивирусной проверки и оценки безопасности программного обеспечения.
На нашем сайте вы можете приобрести программное обеспечение для защиты данных или проконсультироваться с нашими специалистами, что лучше подойдет под требования ИБ-отдела вашей организации.
Procolored, основанная в 2018 году и базирующаяся в Шэньчжэне, производит принтеры форматов DTF, UV DTF, UV и DTG, предназначенные для печати на ткани. Продукция компании реализуется в более чем 30 странах, включая США.
Проблема стала известна благодаря YouTube-блогеру Кэмерону Коварду (Serial Hobbyism), чей антивирус среагировал на заражение при установке драйверов и утилит для модели V11 Pro стоимостью $7000. Сканер обнаружил присутствие USB-червя Floxif — вредоносной программы, способной создавать скрытые каналы доступа и управлять системой удалённо.
Позднее специалисты компании G Data провели собственное расследование, установив, что вредоносное ПО присутствовало в официальных дистрибутивах как минимум в течение полугода. В ответ на запрос Коварда представители Procolored сначала отрицали наличие заражения, заявив о ложных срабатываниях антивирусов. Однако загрузка драйверов вызывала срабатывание защиты, и файлы автоматически отправлялись в карантин.
Исследователь безопасности G Data Карстен Хан установил, что драйверы, размещённые на файлообменнике Mega, были заражены для как минимум шести моделей принтеров. Среди вредоносных компонентов он обнаружил 39 заражённых файлов, содержащих программы XRedRAT и SnipVex.
XRedRAT — это троян с возможностями кейлоггинга, удалённого управления системой, захвата экрана и манипуляции с файлами. SnipVex, напротив, оказался ранее неизвестной программой-клипером, подменяющей биткойн-адреса в буфере обмена и внедряющейся в исполняемые .exe-файлы. Последнее обновление заражённых файлов датировано октябрём 2024 года.
Анализ показал, что на биткойн-адрес, используемый SnipVex, поступило около 9,308 BTC — что по текущему курсу составляет почти 1 миллион долларов.
После уведомления от G Data компания Procolored 8 мая удалила заражённые дистрибутивы с платформы Mega и начала внутреннее расследование. Позднее производитель признал, что загрузка драйверов осуществлялась через USB-накопитель, предположительно заражённый Floxif. Возобновление размещения драйверов планируется только после проведения комплексной антивирусной проверки и оценки безопасности программного обеспечения.
На нашем сайте вы можете приобрести программное обеспечение для защиты данных или проконсультироваться с нашими специалистами, что лучше подойдет под требования ИБ-отдела вашей организации.
