Производитель принтеров из Шэньчжэня комплектовал оборудование драйверами с вредоносным ПО

Компания-производитель принтеров Procolored в течение шести месяцев выпускала драйверы с вредоносным программным обеспечением в виде трояна удалённого доступа и похитителя криптовалюты. В частности, вредоносное ПО содержали драйверы для моделей F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro.

Это сообщение отредактировал molokovoz - 17.05.2025 - 13:44

Основанная в 2018 году Procolored выпускает принтеры DTF, UV DTF, UV и DTG. Компания из Шэньчжэня известна своими продуктами для печати на тканях. Она продаёт принтеры в более чем 31 стране, включая США.

YouTube-блогер Кэмерон Ковард, известный как Serial Hobbyism, обнаружил вредоносное ПО, когда его антивирус предупредил о наличии USB-червя Floxif на ПК во время установки драйверов и другого софта для принтера V11 Pro стоимостью $7 тыс. Троян Floxif способен создавать несанкционированные точки доступа внутри системы, открывая возможности для удалённого управления и выполнения вредоносных действий.

Исследование специалистов ИБ-компании G Data показало, что официальные программные пакеты Procolored поставляли вредоносное ПО минимум полгода. При обращении Коварда компания отрицала наличие вредоносного ПО, указывая на ложное срабатывание антивируса. Блогер отметил, что во время попыток загрузить и распаковать на USB-накопитель файлы с драйверами ПК отправлял их в карантин.

Список файлов на Mega.nz

Это сообщение отредактировал molokovoz - 17.05.2025 - 13:41

Специалист G Data Карстен Хан выяснил, что драйверы минимум для шести моделей принтеров Procolored содержали вредоносное ПО. Производитель размещает программные пакеты на платформе обмена файлами Mega, предлагая прямую загрузку драйверов оттуда.

Процесс заражения SnipVex

Хан обнаружил 39 файлов, заражённых XRedRAT и SnipVex. XRedRAT — это известное вредоносное ПО, ранее проанализированное eSentire. Среди возможностей XRedRAT кейлоггинг, захват экрана, удалённый доступ к оболочке и управление файлами. SnipVex — это ранее не документированная вредоносная программа-клипер, которая заражает файлы .exe, внедряется в них и заменяет BTC-адреса в буфере обмена. На момент анализа файлы в последний раз обновляли в октябре 2024 года.

По данным Хана, на используемый SnipVex BTC-адрес поступило около 9,308 биткоина, что по сегодняшнему обменному курсу составляет почти $1 млн.

Procolored удалила программные пакеты 8 мая и начала внутреннее расследование. После обращения G Data китайская компания призналась, что загрузила файлы на Mega.nz при помощи USB-накопителя, который мог быть заражён Floxif. Драйверы вернутся на платформу только после проведения строгих проверок на вирусы и безопасность ПО.

На фото: Отвечающий за замену BTC-адресов код в буфере обмена

Via


Всё! Всем спасибо за ожидание.

Это сообщение отредактировал molokovoz - 17.05.2025 - 13:44

Однако фамилие такое врагу не пожелаешь.

ну вот, какой-то прыщавый программист на шару подрезал лям долларов...
Штош, похлопаем ему.

Чувак ходит оп конторам, добавляет вир в драйвер, а потом уходит

Вот так и зарабатывает на пенсию

Ой, не смешите мои тапки, я вас умоляю. Что мой скромный, по нынешним временам, комп, или принтер, начнут внезапно, майнить криптовалюту - то я это, прямо скажем, сразу замечу. По траффику.

Нуу, врать не буду, не сразу. Но - замечу. И отслежу, чисто ради спортивного интереса, что и куда, траффик жрёт. А потом - тупо грохну, такое приложение. Делов-то.

ПО принтера? Да ну нафик. В жизни никогда не устанавливал эту шнягу. Хотя, вру - поначалу, устанавливал, весь пакет, а потом, натурально - плюнул. Обычные дрова работают ничуть не хуже, без этих грёбаных напоминалок, типо "у вас краска заканчивается" или "требуется профилактика". А то я и сам не в курсе, блин.

причем тут майнеры, бэкдор воровал доступ к криптокошелькам.
В принципе направление правильное - устройство недешевое, простой юзер себе такой позволить не может да и незачем ему.

Это сообщение отредактировал azztec - 17.05.2025 - 14:15

Не заметишь, т.к. траффик ему и не нужен особо

Размещено через приложение ЯПлакалъ

А раньше майнеры в электронные сигареты ставили. Много кто заряжал от компов/ноутов через usb

Размещено через приложение ЯПлакалъ

Был такой случай у меня. На Localbitcoins.com не заметил когда из буфера вставил адрес своего вроде кошелька - смотрю уже 4 подтверждения, а у меня на счету ничего. Что-то около 4000р потерял)

Размещено через приложение ЯПлакалъ