Accusations contre Procolored
Le fabricant d’imprimantes chinois Procolored a été accusé d’avoir diffusé un logiciel malveillant volé lié au Bitcoin avec ses pilotes officiels, selon plusieurs rapports des médias locaux. Le média chinois Landian News a annoncé le 19 mai que l’entreprise, basée à Shenzhen, aurait utilisé des pilotes USB pour distribuer ces éléments infectés et aurait téléchargé le logiciel compromis sur le stockage cloud pour un accès mondial. Au total, 9,3 BTC, d’une valeur de plus de 953 000 dollars, auraient été volés, selon cette même source.
Fonctionnement du logiciel malveillant
La société de suivi et de conformité dans le domaine des crypto-monnaies, Slow Mist, a décrit le fonctionnement du logiciel malveillant dans un message sur X le 19 mai :
« Le pilote officiel fourni par cette imprimante contient un programme backdoor. Il détourne l’adresse du portefeuille dans le presse-papiers de l’utilisateur et la remplace par l’adresse de l’attaquant. »
Landian News a averti les utilisateurs ayant téléchargé les pilotes Procolored au cours des six derniers mois de « réaliser immédiatement une analyse complète de leur système à l’aide d’un logiciel antivirus ». Toutefois, en raison de la nature aléatoire de certains antivirus, une réinitialisation complète du système est souvent recommandée si l’on a des doutes :
« Idéalement, il est préférable de réinstaller votre système d’exploitation et d’examiner soigneusement vos fichiers existants. »
Réactions du public et enquête
Ce problème aurait été signalé pour la première fois par le YouTuber Cameron Coward, dont le logiciel antivirus a détecté la présence de malwares dans les pilotes lors du test d’une imprimante UV de Procolored. Son logiciel a détecté que le lecteur contenait à la fois un ver et un cheval de Troie nommé Foxif.
Une entreprise de cybersécurité a confirmé l’existence d’un logiciel malveillant ciblant les crypto-monnaies. Lorsque contacté, Procolored a démenti ces accusations et a rejeté le signalement de Coward comme un faux positif. Ce dernier s’est alors tourné vers Reddit pour partager son expérience avec des professionnels de la cybersécurité, attirant l’attention de la société G-Data.
Découvertes de G-Data
L’enquête menée par G-Data a révélé que la majorité des pilotes de Procolored étaient hébergés sur le service de partage de fichiers MEGA, avec des téléchargements remontant jusqu’à octobre 2023. L’analyse de ces fichiers a confirmé la présence de deux types distincts de logiciels malveillants : le backdoor Win32.Backdoor.XRedRAT.A et un voleur de cryptomonnaie conçu pour substituer les adresses dans le presse-papiers par celles contrôlées par l’attaquant.
G-Data a contacté Procolored, qui a affirmé avoir supprimé les pilotes infectés de son stockage le 8 mai et avoir rescanné tous ses fichiers. La société a attribué la présence de logiciels malveillants à une compromission de sa chaîne d’approvisionnement, affirmant que ces fichiers avaient été introduits via des appareils USB infectés avant d’être téléchargés en ligne.
