曝光:國(guó)內(nèi)某打印機(jī)官方軟件感染竊密木馬超半年
責(zé)編:gltian |2025-05-20 14:36:18在至少長(zhǎng)達(dá)六個(gè)月的時(shí)間里,Procolored打印機(jī)附帶的官方軟件中被發(fā)現(xiàn)包含惡意軟件,包括遠(yuǎn)程訪問木馬(RAT)和加密貨幣竊取程序。
Procolored是一家提供數(shù)字打印解決方案的廠商,產(chǎn)品涵蓋直噴膜(DTF)、紫外DTF、紫外打印機(jī)以及直噴服裝(DTG)打印機(jī)。該公司因提供經(jīng)濟(jì)高效的織物打印方案而受到廣泛認(rèn)可。
公司總部位于中國(guó)深圳,自2018年成立以來發(fā)展迅速,產(chǎn)品已銷往31個(gè)以上的國(guó)家,并在美國(guó)設(shè)有主要運(yùn)營(yíng)據(jù)點(diǎn)。
油管視頻主播Cameron Coward(頻道名為Serial Hobbyism)在為一臺(tái)價(jià)值7000美元的Procolored紫外打印機(jī)安裝驅(qū)動(dòng)和配套軟件時(shí),遭遇安全軟件告警,提示其系統(tǒng)中檢測(cè)到Floxif USB蠕蟲,由此發(fā)現(xiàn)了該惡意程序。
據(jù)德國(guó)網(wǎng)絡(luò)安全公司G Data的研究人員分析,Procolored的官方安裝包在至少六個(gè)月內(nèi)持續(xù)傳播惡意軟件。
發(fā)現(xiàn)遠(yuǎn)程木馬與加密貨幣竊取程序
在設(shè)備發(fā)出安全告警后,Coward聯(lián)系了Procolored。對(duì)方否認(rèn)其軟件中包含惡意程序,稱這是安全軟件的誤報(bào)。
Coward表示:“每當(dāng)我嘗試從他們官網(wǎng)下載安裝文件,或者解壓他們提供的U盤內(nèi)容,我的電腦都會(huì)立即隔離這些文件。”
對(duì)此感到疑惑的Coward在Reddit上發(fā)帖求助,希望在撰寫ProcoloredV11Pro的評(píng)測(cè)時(shí)能夠更有依據(jù)地提出相關(guān)指控。
G Data的研究員Karsten Hahn表示愿意協(xié)助調(diào)查,結(jié)果發(fā)現(xiàn)至少有6款打印機(jī)型號(hào)(F8、F13、F13Pro、V6、V11Pro和VF13Pro)的配套軟件中包含惡意程序,這些軟件被托管在Mega文件分享平臺(tái)上。
Procolored使用Mega服務(wù)來托管其打印機(jī)的軟件資源,并在官網(wǎng)支持頁面提供了直達(dá)下載鏈接。
圖:托管于Mega.nz的文件
分析人員共發(fā)現(xiàn)了39個(gè)被感染的文件,包含以下惡意程序:
- XRedRAT:這是已被eSentire分析過的知名惡意軟件,具備鍵盤記錄、截屏、遠(yuǎn)程Shell操作以及文件管理等功能。其硬編碼的C2控制服務(wù)器地址與舊版本一致。
- SnipVex:一種此前從未公開的剪貼板劫持惡意程序,會(huì)感染.EXE文件并附著其中,替換用戶剪貼板中的比特幣地址。該程序在多個(gè)下載包中被檢測(cè)到,極可能是Procolored的開發(fā)系統(tǒng)或構(gòu)建環(huán)境被感染所致。
考慮到這些文件的最后更新時(shí)間為2024年10月,可以推測(cè)Procolored的軟件至少在半年時(shí)間內(nèi)攜帶了這些惡意程序。
圖:SnipVex感染流程
加密貨幣木馬已竊取價(jià)值近百萬美元的比特幣
Hahn指出,目前SnipVex用于接收被盜加密貨幣的錢包地址已經(jīng)收到約9.308枚比特幣,按當(dāng)前匯率計(jì)算,價(jià)值接近100萬美元。
盡管Procolored起初否認(rèn)問題的存在,這些軟件包仍于5月8日被下架,公司隨后啟動(dòng)了內(nèi)部調(diào)查。
當(dāng)G Data就此事件向Procolored詢問時(shí),Procolored承認(rèn)其用于上傳文件的U盤可能已經(jīng)感染了Floxif蠕蟲。
Procolored向G Data表示:“出于安全考慮,我們已暫時(shí)下架官網(wǎng)上的所有軟件。”
“我們正在對(duì)每一個(gè)文件進(jìn)行全面的惡意軟件掃描,只有通過嚴(yán)格的病毒與安全檢測(cè)后,相關(guān)軟件才會(huì)重新上線。”
G Data隨后收到了經(jīng)過清理的軟件包,并確認(rèn)這些版本已可安全使用。
建議使用Procolored打印機(jī)的用戶替換舊版軟件,并進(jìn)行系統(tǒng)掃描,以清除XRedRAT和SnipVex。
由于SnipVex會(huì)對(duì)二進(jìn)制文件進(jìn)行修改,建議用戶對(duì)系統(tǒng)進(jìn)行深度清理,確保所有文件無害。
外媒Bleeping Computer已就此次事件及Procolored是否已向用戶通報(bào)風(fēng)險(xiǎn)等問題聯(lián)系該公司,但目前尚未收到回應(yīng)。
參考資料:https://www.bleepingcomputer.com/news/security/printer-maker-procolored-offered-malware-laced-drivers-for-months/
聲明:本文來自安全內(nèi)參,稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊(duì)斬獲32萬美元
- AI驅(qū)動(dòng)時(shí)代,安全跨越鴻溝的困境和機(jī)遇
- 曝光:國(guó)內(nèi)某打印機(jī)官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運(yùn)冠軍之城”七臺(tái)河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)