Malware-Vorwürfe gegen Procolored
Der chinesische Druckerhersteller Procolored hat laut lokalen Medienberichten Malware zum Stehlen von Bitcoin zusammen mit seinen offiziellen Treibern verbreitet. Das Nachrichtenportal Landian News berichtete am 19. Mai, dass das in Shenzhen ansässige Unternehmen Procolored Malware verwendet hat, die Bitcoin stiehlt, und diese zusammen mit seinen offiziellen Treibern vertreibt.
Angeblich wurden USB-Treiber genutzt, um mit Malware infizierte Treiber zu verbreiten und die kompromittierte Software in Cloud-Speicher zum globalen Download hochzuladen. Laut dem Bericht wurden insgesamt 9,3 BTC im Wert von über 953.000 USD gestohlen.
Laut der Krypto-Tracking- und Compliance-Firma Slow Mist beschrieb in einem X-Post vom 19. Mai, wie die Malware funktioniert: „Der offizielle Treiber, der von diesem Drucker bereitgestellt wird, enthält ein Backdoor-Programm, das die Wallet-Adresse in der Zwischenablage des Benutzers erfasst und durch die Adresse des Angreifers ersetzt.“
Empfehlungen für betroffene Nutzer
Landian News empfahl Nutzern, die in den letzten sechs Monaten Procolored-Druckertreiber heruntergeladen haben, „sofort einen vollständigen Systemscan mit Antivirensoftware durchzuführen“. Dennoch ist es angesichts der manchmal unzuverlässigen Natur von Antivirensoftware oft die bessere Option, das gesamte System zurückzusetzen, wenn man Zweifel hat. „Idealerweise sollten Sie Ihr Betriebssystem neu installieren und alte Dateien gründlich überprüfen.“
Ursprung der Malware
Das Problem wurde angeblich zuerst von YouTuber Cameron Coward entdeckt, dessen Antivirensoftware Malware in den Treibern identifizierte, während er einen Procolored-UV-Drucker testete. Die Software kennzeichnete das Laufwerk als mit einem Wurm und einem Trojaner, bekannt als Foxif, infiziert.
Auf Anfrage wies Procolored die Vorwürfe zurück und bezeichnete das Antivirenprogramm, das die Treiber kennzeichnete, als Fehlalarm. Coward wandte sich an Reddit, wo er das Problem mit Cybersicherheitsexperten teilte und die Aufmerksamkeit der Cybersicherheitsfirma G-Data auf sich zog.
Die Untersuchung von G-Data ergab, dass die meisten Treiber von Procolored auf dem Filehosting-Dienst MEGA gehostet wurden, mit Uploads, die bis Oktober 2023 zurückreichen. Die Analyse dieser Dateien bestätigte, dass sie von zwei verschiedenen Malware-Stücken kompromittiert waren: dem Backdoor Win32.Backdoor.XRedRAT.A und einem Krypto-Dieb, der dazu entworfen wurde, Adressen in der Zwischenablage durch solche zu ersetzen, die vom Angreifer kontrolliert werden.
G-Data kontaktierte Procolored; das Hardwareunternehmen sagte, es habe die infizierten Treiber am 8. Mai aus seinem Speicher gelöscht und alle Dateien erneut gescannt. Procolored führte die Malware auf einen Kompromiss in der Lieferkette zurück und erklärte, dass die schädlichen Dateien durch infizierte USB-Geräte eingeführt wurden, bevor sie online hochgeladen wurden.
