关注我们
带你读懂网络安全
德国网络安全公司G Data发现,中国打印机品牌Procolored存放在Mega网盘的官方驱动和配套软件,感染了远控木马和加密货币窃取木马,时间至少半年以上;
该加密货币窃取木马已经收到9.308枚比特币,按当前汇率价值近百万美元;
Procolored于5月8日下架了相关软件,并启动内部调查。
前情回顾·国内网络威胁态势
安全内参5月19日消息,在至少长达六个月的时间里,Procolored打印机附带的官方软件中被发现包含恶意软件,包括远程访问木马(RAT)和加密货币窃取程序。
Procolored是一家提供数字打印解决方案的厂商,产品涵盖直喷膜(DTF)、紫外DTF、紫外打印机以及直喷服装(DTG)打印机。该公司因提供经济高效的织物打印方案而受到广泛认可。
公司总部位于中国深圳,自2018年成立以来发展迅速,产品已销往31个以上的国家,并在美国设有主要运营据点。
油管视频主播Cameron Coward(频道名为Serial Hobbyism)在为一台价值7000美元的Procolored紫外打印机安装驱动和配套软件时,遭遇安全软件告警,提示其系统中检测到Floxif USB蠕虫,由此发现了该恶意程序。
据德国网络安全公司G Data的研究人员分析,Procolored的官方安装包在至少六个月内持续传播恶意软件。
发现远程木马与加密货币窃取程序
在设备发出安全告警后,Coward联系了Procolored。对方否认其软件中包含恶意程序,称这是安全软件的误报。
Coward表示:“每当我尝试从他们官网下载安装文件,或者解压他们提供的U盘内容,我的电脑都会立即隔离这些文件。”
对此感到疑惑的Coward在Reddit上发帖求助,希望在撰写ProcoloredV11Pro的评测时能够更有依据地提出相关指控。
G Data的研究员Karsten Hahn表示愿意协助调查,结果发现至少有6款打印机型号(F8、F13、F13Pro、V6、V11Pro和VF13Pro)的配套软件中包含恶意程序,这些软件被托管在Mega文件分享平台上。
Procolored使用Mega服务来托管其打印机的软件资源,并在官网支持页面提供了直达下载链接。
图:托管于Mega.nz的文件
分析人员共发现了39个被感染的文件,包含以下恶意程序:
-
XRedRAT:这是已被eSentire分析过的知名恶意软件,具备键盘记录、截屏、远程Shell操作以及文件管理等功能。其硬编码的C2控制服务器地址与旧版本一致。
-
SnipVex:一种此前从未公开的剪贴板劫持恶意程序,会感染.EXE文件并附着其中,替换用户剪贴板中的比特币地址。该程序在多个下载包中被检测到,极可能是Procolored的开发系统或构建环境被感染所致。
考虑到这些文件的最后更新时间为2024年10月,可以推测Procolored的软件至少在半年时间内携带了这些恶意程序。
图:SnipVex感染流程
加密货币木马已窃取价值近百万美元的比特币
Hahn指出,目前SnipVex用于接收被盗加密货币的钱包地址已经收到约9.308枚比特币,按当前汇率计算,价值接近100万美元。
尽管Procolored起初否认问题的存在,这些软件包仍于5月8日被下架,公司随后启动了内部调查。
当G Data就此事件向Procolored询问时,Procolored承认其用于上传文件的U盘可能已经感染了Floxif蠕虫。
Procolored向G Data表示:“出于安全考虑,我们已暂时下架官网上的所有软件。”
“我们正在对每一个文件进行全面的恶意软件扫描,只有通过严格的病毒与安全检测后,相关软件才会重新上线。”
G Data随后收到了经过清理的软件包,并确认这些版本已可安全使用。
建议使用Procolored打印机的用户替换旧版软件,并进行系统扫描,以清除XRedRAT和SnipVex。
由于SnipVex会对二进制文件进行修改,建议用户对系统进行深度清理,确保所有文件无害。
外媒Bleeping Computer已就此次事件及Procolored是否已向用户通报风险等问题联系该公司,但目前尚未收到回应。
参考资料:bleepingcomputer.com
原文始发于微信公众号(安全内参):曝光:国内某打印机官方软件感染窃密木马超半年
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论