Malware Rubapassword nei Driver di Procolored
Il produttore cinese di stampanti Procolored ha distribuito un malware rubapassword destinato a Bitcoin insieme ai propri driver ufficiali, come riportato da fonti locali. La testata cinese Landian News ha segnalato il 19 maggio che la società di stampa, con sede a Shenzhen, ha caricato software compromesso su un’archiviazione cloud per il download globale, utilizzando i driver USB per diffondere i file infetti. Secondo quanto emerso, sono stati rubati 9,3 BTC, equivalenti a oltre 953.000 dollari.
“Il driver ufficiale fornito da questa stampante contiene uno strumento backdoor che intercetta gli indirizzi dei wallet negli appunti dell’utente e li sostituisce con quelli dell’attaccante.”
Raccomandazioni per gli Utenti
In seguito, Landian News ha raccomandato agli utenti che hanno scaricato i driver per stampanti Procolored negli ultimi sei mesi di eseguire immediatamente una scansione completa del sistema con un software antivirus. Tuttavia, vista l’inaffidabilità di tali programmi, il ripristino completo del sistema è sempre considerata l’opzione migliore in caso di sospetti:
“Idealmente, dovresti reinstallare il tuo sistema operativo e controllare accuratamente i file più vecchi.”
Origine del Problema
La questione era stata inizialmente segnalata dallo YouTuber Cameron Coward, il quale ha notato la presenza di malware nei driver mentre testava una stampante UV Procolored. Il software antivirus ha classificato l’unità infetta come contenente un worm e un virus troiano denominato Foxif.
Successivamente, G-Data, una società di cybersicurezza, ha confermato la presenza del malware rubapassword. In seguito al contatto con Procolored, l’azienda ha negato le accuse, liquidando l’allerta del software antivirus come un falso positivo. Coward ha quindi condiviso la sua esperienza su Reddit, attirando l’attenzione di professionisti della cybersicurezza e dell’azienda G-Data.
Quest’ultima ha scoperto che gran parte dei driver di Procolored era ospitata su un servizio di file hosting, MEGA, con caricamenti risalenti a ottobre 2023. L’analisi di quei file ha dimostrato che erano stati compromessi da due distinti tipi di malware: la backdoor Win32.Backdoor.XRedRAT.A e un rubapassword progettato per sostituire gli indirizzi negli appunti con quelli dell’attaccante.
Risposte di Procolored
G-Data ha contattato Procolored, che ha dichiarato di aver eliminato i driver infetti dal proprio sistema di archiviazione l’8 maggio e di aver effettuato una nuova scansione di tutti i file. Procolored ha attribuito l’intrusione al compromesso della catena di approvvigionamento, sostenendo che i file malevoli erano stati introdotti tramite dispositivi USB infetti prima di essere caricati online.
