Για τουλάχιστον μισό χρόνο, το επίσημο λογισμικό που παρέχεται με εκτυπωτές που είχαν προχωρήσει περιελάμβανε κακόβουλο λογισμικό με τη μορφή τηλεχειρισμού Trojan και κλέφτης κρυπτογράφησης.
Το Procolored είναι ένας πάροχος ψηφιακών εκτυπώσεων που δημιουργεί εκτυπωτές απευθείας προς την ταινία (DTF), UV DTF, UV και άμεσης προς το γκαράζ (DTG). Είναι ιδιαίτερα γνωστό για προσιτές και αποτελεσματικές λύσεις εκτύπωσης υφασμάτων.
Η εταιρεία με έδρα το Shenzhen έχει αυξηθεί γρήγορα από τότε που ξεκίνησε το 2018 και τώρα πωλεί τα προϊόντα της σε περισσότερες από 31 χώρες, με σημαντική επιχειρησιακή παρουσία στις Ηνωμένες Πολιτείες.
Cameron Coward, ένα YouTuber γνωστό ως Σειριακό χόμπιανακάλυψε το κακόβουλο λογισμικό όταν η λύση ασφαλείας του προειδοποίησε για την παρουσία του σκουληκιού USB Floxif στον υπολογιστή του κατά την εγκατάσταση του λογισμικού και των οδηγών συνοδευτικής για έναν εκτυπωτή UV ύψους 7.000 δολαρίων.
Μια ανάλυση που διεξήχθη από ερευνητές της εταιρείας Cybersecurity Company G Data, τα επίσημα πακέτα λογισμικού της Procolored παρέδωσαν το κακόβουλο λογισμικό για τουλάχιστον έξι μήνες.
Ανακαλύπτοντας τους αρουραίους και τους κλέφτες νομισμάτων
Αφού έλαβε τις ειδοποιήσεις απειλής στο μηχάνημά του, ο Coward έρχεται σε επαφή με το Procolored, οι οποίοι αρνήθηκαν να μεταφέρουν κακόβουλο λογισμικό στο λογισμικό τους, δείχνοντας τη λύση ασφαλείας που δημιουργεί ψευδή θετικά.
“Αν προσπαθήσω να κατεβάσω τα αρχεία από τον ιστότοπό τους ή να αποσυνδέσετε τα αρχεία στη μονάδα USB που μου έδωσαν, ο υπολογιστής μου τους κατευθύνθηκε αμέσως”, δήλωσε ο YouTuber.
Αμηχανία από την κατάσταση, το YouTuber στράφηκε στο Reddit για βοήθεια με την ανάλυση κακόβουλου λογισμικού προτού να μπορέσει να υποβάλει ισχυρισμούς Η κριτική του του Procolored V11 Pro προϊόν.
Ερευνητής δεδομένων Ο Karsten Hahn προσφέρθηκε να διερευνήσειδιαπιστώνοντας ότι τουλάχιστον έξι μοντέλα εκτυπωτή (F8, F13, F13 Pro, V6, V11 Pro και VF13 Pro) με συνοδευτικό λογισμικό που φιλοξενείται στην πλατφόρμα κοινής χρήσης αρχείων Mega που περιελάμβανε κακόβουλο λογισμικό.
Το Procolored χρησιμοποιεί την υπηρεσία Mega για να φιλοξενήσει τους πόρους λογισμικού για τους εκτυπωτές της και προσφέρει έναν άμεσο σύνδεσμο σε αυτούς από την ενότητα υποστήριξης του επίσημου ιστότοπου.
Πηγή: Δεδομένα G
Ο αναλυτής βρήκε 39 αρχεία που έχουν μολυνθεί με:
- Ξενώτα – γνωστό κακόβουλο λογισμικό που αναλύθηκε προηγουμένως από την Esentire. Οι δυνατότητές του περιλαμβάνουν το keylogging, τη λήψη στιγμιότυπου οθόνης, την πρόσβαση απομακρυσμένου κελύφους και τη χειραγώγηση αρχείων. Οι Hardcoded C2 URL ταιριάζουν με τα παλαιότερα δείγματα.
- Ψεύτης – Ένα προηγούμενο κακόβουλο λογισμικό clipper που μολύνει αρχεία .exe, προσδίδει σε αυτά και αντικαθιστά τις διευθύνσεις BTC του Prigboard. Εντοπίστηκε σε πολλαπλά αρχεία λήψης. Πιθανότατα μολυσμένα συστήματα προγραμματιστών ή μηχανήματα κατασκευής.
Δεδομένου ότι τα αρχεία ενημερώθηκαν για τελευταία φορά τον Οκτώβριο του 2024, μπορεί να θεωρηθεί ότι το κακόβουλο λογισμικό αποστέλλεται με procolored λογισμικό για τουλάχιστον έξι μήνες.
Πηγή: Δεδομένα G
Ο Hahn λέει ότι η διεύθυνση που χρησιμοποιεί το Snipvex για την εκφόρτωση κλεμμένης κρυπτογράφησης έχει λάβει περίπου 9.308 BTC, η οποία αξίζει σχεδόν 1 εκατομμύριο δολάρια στη σημερινή συναλλαγματική ισοτιμία.
Παρά την αρχική άρνηση της Procolored, τα πακέτα λογισμικού καταργήθηκαν στις 8 Μαΐου και ξεκίνησε εσωτερική έρευνα.
Όταν τα δεδομένα G ζήτησαν από τον προμηθευτή εκτυπωτή για μια εξήγηση, η Procolored παραδέχτηκε ότι είχαν ανεβάσει τα αρχεία σε mega.nz χρησιμοποιώντας μια μονάδα USB που θα μπορούσε να έχει μολυνθεί από το Floxif.
“Ως προφύλαξη, όλο το λογισμικό έχει απομακρυνθεί προσωρινά από την επίσημη ιστοσελίδα”, εξήγησε το Procolored σε δεδομένα G.
“Διεξάγουμε μια ολοκληρωμένη σάρωση κακόβουλου λογισμικού κάθε αρχείου. Μόνο μετά τη διέλευση αυστηρών ελέγχων ιών και ασφαλείας θα επαναφορτωθούν το λογισμικό”.
Τα δεδομένα G έλαβαν τα καθαρά πακέτα λογισμικού και επιβεβαίωσαν ότι είναι ασφαλή στη χρήση.
Οι πελατωτές πελάτες συνιστώνται να αντικαταστήσουν το παλιό λογισμικό με τις νέες εκδόσεις και να εκτελέσουν μια σάρωση συστήματος για την κατάργηση του XREDRAT και του Snipvex.
Δεδομένου ότι το Snipvex εκτελεί δυαδικές μεταβολές, συνιστάται ένας βαθύτερος καθαρισμός του συστήματος για να εξασφαλιστεί ότι όλα τα αρχεία είναι καθαρά.
Ο BleepingComputer έχει έρθει σε επαφή με το Procolored για ένα σχόλιο σχετικά με την κατάσταση και εάν πληροφόρησαν τους πελάτες τους για τον κίνδυνο, αλλά δεν έχουμε ακόμη λάβει απάντηση.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
