曝光:國內某打印機官方軟件感染竊密木馬超半年
責編:gltian |2025-05-20 14:36:18在至少長達六個月的時間里,Procolored打印機附帶的官方軟件中被發現包含惡意軟件,包括遠程訪問木馬(RAT)和加密貨幣竊取程序。
Procolored是一家提供數字打印解決方案的廠商,產品涵蓋直噴膜(DTF)、紫外DTF、紫外打印機以及直噴服裝(DTG)打印機。該公司因提供經濟高效的織物打印方案而受到廣泛認可。
公司總部位于中國深圳,自2018年成立以來發展迅速,產品已銷往31個以上的國家,并在美國設有主要運營據點。
油管視頻主播Cameron Coward(頻道名為Serial Hobbyism)在為一臺價值7000美元的Procolored紫外打印機安裝驅動和配套軟件時,遭遇安全軟件告警,提示其系統中檢測到Floxif USB蠕蟲,由此發現了該惡意程序。
據德國網絡安全公司G Data的研究人員分析,Procolored的官方安裝包在至少六個月內持續傳播惡意軟件。
發現遠程木馬與加密貨幣竊取程序
在設備發出安全告警后,Coward聯系了Procolored。對方否認其軟件中包含惡意程序,稱這是安全軟件的誤報。
Coward表示:“每當我嘗試從他們官網下載安裝文件,或者解壓他們提供的U盤內容,我的電腦都會立即隔離這些文件。”
對此感到疑惑的Coward在Reddit上發帖求助,希望在撰寫ProcoloredV11Pro的評測時能夠更有依據地提出相關指控。
G Data的研究員Karsten Hahn表示愿意協助調查,結果發現至少有6款打印機型號(F8、F13、F13Pro、V6、V11Pro和VF13Pro)的配套軟件中包含惡意程序,這些軟件被托管在Mega文件分享平臺上。
Procolored使用Mega服務來托管其打印機的軟件資源,并在官網支持頁面提供了直達下載鏈接。
圖:托管于Mega.nz的文件
分析人員共發現了39個被感染的文件,包含以下惡意程序:
- XRedRAT:這是已被eSentire分析過的知名惡意軟件,具備鍵盤記錄、截屏、遠程Shell操作以及文件管理等功能。其硬編碼的C2控制服務器地址與舊版本一致。
- SnipVex:一種此前從未公開的剪貼板劫持惡意程序,會感染.EXE文件并附著其中,替換用戶剪貼板中的比特幣地址。該程序在多個下載包中被檢測到,極可能是Procolored的開發系統或構建環境被感染所致。
考慮到這些文件的最后更新時間為2024年10月,可以推測Procolored的軟件至少在半年時間內攜帶了這些惡意程序。
圖:SnipVex感染流程
加密貨幣木馬已竊取價值近百萬美元的比特幣
Hahn指出,目前SnipVex用于接收被盜加密貨幣的錢包地址已經收到約9.308枚比特幣,按當前匯率計算,價值接近100萬美元。
盡管Procolored起初否認問題的存在,這些軟件包仍于5月8日被下架,公司隨后啟動了內部調查。
當G Data就此事件向Procolored詢問時,Procolored承認其用于上傳文件的U盤可能已經感染了Floxif蠕蟲。
Procolored向G Data表示:“出于安全考慮,我們已暫時下架官網上的所有軟件。”
“我們正在對每一個文件進行全面的惡意軟件掃描,只有通過嚴格的病毒與安全檢測后,相關軟件才會重新上線。”
G Data隨后收到了經過清理的軟件包,并確認這些版本已可安全使用。
建議使用Procolored打印機的用戶替換舊版軟件,并進行系統掃描,以清除XRedRAT和SnipVex。
由于SnipVex會對二進制文件進行修改,建議用戶對系統進行深度清理,確保所有文件無害。
外媒Bleeping Computer已就此次事件及Procolored是否已向用戶通報風險等問題聯系該公司,但目前尚未收到回應。
參考資料:https://www.bleepingcomputer.com/news/security/printer-maker-procolored-offered-malware-laced-drivers-for-months/