至少有半年的时间,Procolored 打印机附带的官方软件包含远程访问木马和加密货币窃取程序形式的恶意软件。
Procolored 是一家数码印花解决方案提供商,生产直接成膜 (DTF)、UV DTF、UV 和直接成衣 (DTG) 打印机。该公司尤其以经济高效的织物印花解决方案而闻名。
这家总部位于深圳的公司自 2018 年成立以来发展迅速,目前其产品销往 31 个国家,并在美国拥有重要的业务。
卡梅伦·考沃德 (Cameron Coward) 是一位名为 Serial Hobbyism 的YouTuber ,他在为一台价值 7,000 美元的 Procolored UV 打印机安装配套软件和驱动程序时,他的安全解决方案警告他的电脑上存在 Floxif USB 蠕虫,于是他发现了这种恶意软件。
网络安全公司 G Data 的研究人员进行的分析显示,Procolored 的官方软件包至少传播了该恶意软件六个月。
在他的计算机收到威胁警报后,考沃德联系了 Procolored,但该公司否认在其软件中携带恶意软件,并指出该安全解决方案产生了误报。
“如果我尝试从他们的网站下载文件或解压他们给我的 USB 驱动器上的文件,我的电脑就会立即隔离它们,”这位 YouTuber 说。
对此情况感到困惑,这位 YouTuber向 Reddit寻求恶意软件分析方面的帮助,然后才能够在对 Procolored V11 Pro 产品的评论中自信地提出指控。
G Data 研究员Karsten Hahn 主动展开调查,发现至少有六种打印机型号(F8、F13、F13 Pro、V6、V11 Pro 和 VF13 Pro)及其附带软件托管在 Mega 文件共享平台上,其中包含恶意软件。
Procolored 使用 Mega 服务来托管其打印机的软件资源,并从官方网站的支持部分提供直接链接。
-
XRedRAT – eSentire 先前分析过的已知恶意软件。其功能包括键盘记录、屏幕截图、远程 Shell 访问和文件操作。硬编码的 C2 URL 与旧样本匹配。
-
SnipVex – 一款此前未记录的剪贴板恶意软件,它会感染 .EXE 文件,附加到这些文件中,并替换剪贴板中的 BTC 地址。在多个下载文件中检测到。可能感染了 Procolored 开发者系统或构建机器。
由于这些文件最后更新于 2024 年 10 月,因此可以推测该恶意软件与 Procolored 软件一起发布了至少六个月。
哈恩表示,SnipVex 用于卸载被盗加密货币的地址已收到约 9.308 BTC,按今天的汇率计算价值近 100 万美元。
尽管 Procolored 最初否认,但软件包还是于 5 月 8 日被下架,并展开了内部调查。
当 G Data 要求打印机供应商做出解释时,Procolored 承认他们使用可能被 Floxif 感染的 USB 驱动器将文件上传到 Mega.nz。
Procolored 向 G Data 解释道:“作为预防措施,所有软件已从 Procolored 官方网站暂时删除。”
我们正在对每个文件进行全面的恶意软件扫描。只有通过严格的病毒和安全检查后,软件才会重新上传。
G Data 收到了干净的软件包并确认它们可以安全使用。
建议 Procolored 客户用新版本替换旧软件,并执行系统扫描以删除 XRedRAT 和 SnipVex。
鉴于 SnipVex 执行二进制更改,建议对系统进行更深层次的清理,以确保所有文件都是干净的。
原文始发于微信公众号(犀牛安全):打印机制造商 Procolored 连续数月提供含有恶意软件的驱动程序
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4123544.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论