Кража Bitcoin через вредоносное ПО
Китайская компания Procolored, специализирующаяся на производстве принтеров, якобы распространяла вредоносное программное обеспечение для кражи Bitcoin вместе с официальными драйверами. Как сообщает местное новостное агентство Landian News, 19 мая, компания Procolored, расположенная в Шэньчжэне, использовала USB-драйверы для инфицирования своих продуктов и загружала скомпрометированное программное обеспечение в облачное хранилище, доступное для скачивания по всему миру. По имеющимся данным, было украдено в общей сложности 9,3 BTC на сумму более 953,000 долларов.
Информация от Slow Mist
«Официальный драйвер, предоставляемый этим принтером, содержит программу с бэкдором. Она перехватывает адрес кошелька в буфере обмена пользователя и заменяет его адресом злоумышленника.»
Landian News рекомендовала пользователям, которые загружали драйверы принтера Procolored за последние шесть месяцев, немедленно провести полное сканирование своих систем с использованием антивирусного ПО. Однако, учитывая, что антивирусные программы могут не всегда срабатывать, рекомендуется выполнить полный сброс системы при возникновении подозрений:
«В идеале, вам следует переустановить операционную систему и тщательно проверить старые файлы.»
Выявление проблемы
Проблема была впервые выявлена YouTuber’ом Кэмероном Ковардом, чей антивирус обнаружил вредоносное ПО в драйверах во время тестирования принтера Procolored UV. Программное обеспечение обозначило диск как зараженный червем и трояном под названием Foxif. Когда Procolored был осведомлен об этом, компания отрицала обвинения и утверждала, что срабатывание антивирусного инструмента на драйверах является ложным.
Ковард обратился за помощью на Reddit, где привлек внимание кибербезопасной компании G-Data.
Исследование G-Data
Исследование G-Data показало, что большинство драйверов Procolored были размещены на файлообменнике MEGA, и загрузки происходили с октября 2023 года. Анализ файлов подтвердил, что они были инфицированы двумя видами вредоносного ПО: бэкдором Win32.Backdoor.XRedRAT.A и программой для кражи криптовалюты, предназначенной для модификации адресов в буфере обмена на контролируемые злоумышленниками.
G-Data связалась с Procolored, и производитель заявил, что удалил зараженные драйверы из своего хранилища 8 мая и повторно отсканировал все файлы. Procolored связывает появление вредоносного ПО с компрометацией своей цепочки поставок, утверждая, что вредоносные файлы были внедрены через зараженные USB-устройства перед загрузкой в интернет.
