Kinesisk skriverprodusent involvert i malware-skandale
Ifølge lokale medier har den kinesiske skriverprodusenten Procolored distribuert Bitcoin-stjelende malware sammen med sine offisielle drivere. Den kinesiske nyhetskilden Landian News rapporterte 19. mai at den Shenzhen-baserte skriverbedriften Procolored har distribuert malware kalt «View More» sammen med sine offisielle drivere.
Selskapet skal ha brukt USB-enheter til å distribuere drivere som inneholdt malware, og deretter lastet opp den kompromitterte programvaren til skytjenester for global nedlasting. Totalt skal 9,3 BTC, verdt over 953 000 dollar, ha blitt stjålet, ifølge rapporten.
Kryptosikkerhets- og samsvarsselskapet Slow Mist beskrev hvordan malware fungerer: «Den offisielle driveren som tilbys av denne skriveren inneholder et bakdørprogram. Det kaprer lommebokadressen i brukerens utklippstavle og erstatter den med angriperens adresse.»
Anbefalte tiltak for berørte brukere
Landian News rådet brukere som har lastet ned Procolored-skriverdrivere de siste seks månedene til å «umiddelbart utføre en full systemskanning med antivirusprogramvare.» Imidlertid, gitt den varierende effektiviteten til antivirusprogramvare, er en fullstendig systemreset alltid det beste alternativet hvis man er usikker: «Ideelt sett bør du reinstallere operativsystemet ditt og grundig sjekke gamle filer.»
Problemet ble angivelig først rapportert av YouTuber Cameron Coward, hvis antivirusprogramvare oppdaget malware i driverne mens han testet en Procolored UV-skriver. Programvaren identifiserte drivere som inneholdende en orm og en trojaner kalt Foxif.
Reaksjoner fra Procolored og cybersikkerhetsforskning
Cybersikkerhetsselskapet bekrefter kryptostjeler malware. Da de ble kontaktet, avviste Procolored anklagene og avviste antivirusverktøyet som et falskt positivt resultat. Coward delte sine erfaringer på Reddit, der han fikk kontakt med cybersikkerhetsprofesjonelle som tiltrakk seg oppmerksomheten til cybersikkerhetsselskapet G-Data.
G-Datas etterforskning viste at de fleste av Procoloreds drivere var vert for filhostingstjenesten MEGA, med opplastinger så tidlig som oktober 2023. Analyse av disse filene bekreftet at de var kompromittert av to distinkte malware: backdoor Win32.Backdoor.XRedRAT.A og en kryptostjeler designet for å erstatte adresser i utklippstavlen med adresser kontrollert av angriperen.
G-Data kontaktet Procolored, og produsenten bekreftet at de hadde slettet de infiserte driverne fra sitt lagringssystem den 8. mai og grundig gjennomgått alle filer på nytt. Procolored tilskrev malware til et forsyningskjede-kompromiss, og uttalte at de skadelige filene ble introdusert gjennom infiserte USB-enheter før de ble lastet opp online.
