Korisnici Procolored štampača širom svijeta bili su u opasnosti najmanje pola godine jer je zvanični softver kompanije isporučivan sa dva opasna malvera: XredRAT trojancem i SnipVex kradljivcem kriptovaluta.
Otkriće je uslijedilo nakon što je popularni jutjuber Kameron Kauard primijetio sumnjivo ponašanje svog računara prilikom instalacije softvera za Procolored UV štampač vrijedan 7.000 dolara.
Kauardov antivirusni program upozorio ga je na prisustvo USB crva Floxif, što je potaklo detaljniju analizu. Istraživači iz kompanije za sajber sigurnost G Data potvrdili su da je zvanični softver kineske kompanije Procolored, sa sjedištem u Šenženu, bio kompromitovan malverom najmanje šest mjeseci. Procolored svoje štampače prodaje u više od 30 zemalja.
Nakon što je dobio upozorenja, Kauard je kontaktirao Procolored, koji je u početku negirao prisustvo malvera, sugerišući da se radi o lažnoj uzbuni antivirusnog programa. Međutim, Kauard je bio sumnjičav jer je njegov računar konstantno stavljao u karantin fajlove preuzete sa zvanične web stranice kompanije i sa USB diska koji je dobio uz štampač.
U potrazi za pomoći, Kauard se obratio Reddit zajednici, gdje je njegov problem privukao pažnju Karstena Hana, istraživača iz G Data. Han je potvrdio da je softver za najmanje šest modela Procolored štampača (F8, F13, F13 Pro, V6, V11 Pro i VF13 Pro), hostovan na platformi Mega, zaražen. Procolored koristi Mega servis za distribuciju softvera, a linkovi za preuzimanje nalaze se na njihovoj zvaničnoj web stranici.
Analiza je otkrila 39 zaraženih fajlova sa XredRAT-om, sofisticiranim trojancem koji funkcionira kao keylogger, omogućava snimanje ekrana, daljinski pristup i manipulaciju fajlovima. Pored toga, otkriven je i SnipVex, do sada nepoznati clipper malver koji inficira .EXE fajlove i zamjenjuje Bitcoin adrese korisnika adresama napadača.
S obzirom da su zaraženi fajlovi posljednji put ažurirani u oktobru 2024. godine, pretpostavlja se da je malver distribuiran sa softverom Procolored najmanje šest mjeseci. Karsten Han je otkrio da je na Bitcoin adresu povezanu sa SnipVex malverom preneseno oko 9,308 BTC, što po trenutnom kursu iznosi blizu milion dolara.
Nakon što su dokazi o infekciji postali neosporni, Procolored je 8. maja uklonio zaražene softverske pakete sa svojih servera i pokrenuo internu istragu. Kompanija je G Data-i priznala da su fajlovi na Mega.nz učitani putem potencijalno zaraženog USB diska sa Floxif virusom.
"Kao mjera predostrožnosti, sav softver je privremeno uklonjen sa zvanične web stranice Procolored-a", saopštio je proizvođač za G Data, najavljujući da će ažurirani i provjereni softver uskoro biti vraćen na Mega platformu. G Data je potvrdio da je nova verzija softvera sigurna za korištenje.
Korisnicima Procolored štampača se hitno preporučuje da preuzmu i instaliraju najnovije verzije softvera i da izvrše detaljno skeniranje svojih računara kako bi uklonili potencijalno prisustvo XredRAT i SnipVex malvera.
(Mondo)