Cette adorable imprimante est expédiée avec des logiciels malveillants de volée bitcoin

La marque d'imprimante a procédé à l'absence de logiciels malveillants involontairement avec son logiciel officiel pendant environ six mois. L'impact complet de cet incident est encore inconnu, bien que les clients devraient prendre des mesures pour s'assurer que leurs machines ne sont pas infectées.

Procolored occupe une forte imprimerie dans l'impression UV, l'impression directe au législature (DTG) et l'impression directe au film (DTF). Ses produits coûtent plusieurs milliers de dollars et appellent principalement les propriétaires de petites entreprises qui souhaitent imprimer des chemises, des autocollants ou d'autres vêtements à grande échelle.

Les rapports sur des conducteurs procolorés infectés par des logiciels malveillants ont commencé à surgir dans les communautés de Reddit au début de cette année. Cela dit, le problème n'a pas reçu beaucoup d'attention avant le 13 mai, lorsque YouTuber Cameron Coward (Hobbyisme en série) a publié sa revue d'une imprimante procolorée de 7 000 $ chez Hackster.io. Coward a rencontré Windows Defender Antivirus avertissements lors de la tentative de téléchargement du logiciel fourni par le fournisseur pour une imprimante UV procolorée – un package contenait un virus Floxif, tandis qu'un autre a été signalé pour un ver.

Naturellement, Coward a tendu la main pour procolorer son soutien. Mais on lui a dit que Windows Defender a fait une erreur. Il a donc demandé aux analystes tiers, dont Karsten Hahn, chercheur de logiciels malveillants principale chez G Data Cyberdefense, pour regarder les fichiers. Les analystes ont conclu que 39 fichiers distribués via la page de distribution de fichiers MEGA de ProColored étaient inondés avec des logiciels malveillants Xredrat et Snipvex.

Xredrat est un virus connu qui permet aux acteurs de menace d'accéder à distance aux machines infectées. Il peut capturer des captures d'écran, enregistrer des frappes, afficher le contenu du disque dur et manipuler ou supprimer des fichiers. Cependant, cette version de Xredrat n'est plus capable de faciliter une connexion distante, car son backend a été hors ligne en février 2024, bien avant que le procolore ne commence à distribuer des packages de logiciels infectés.

Snipvex est un peu plus intéressant – il s'agit d'un malware de clipper sous-cité auparavant qui se propage sur les machines ou les réseaux en infectant des fichiers exécutables. Une fois sur une machine, il redirige les transactions de crypto-monnaie vers une adresse bitcoin malveillante, qui blanchit ensuite l'argent pour réduire la traçabilité. Cette adresse a reçu un total de 9,30 Bitcoin, ce qui correspond à environ 100 000 USD, bien que les transactions aient arrêté le 3 mars 2024.

Curieusement, les analystes n'ont pas rencontré de malware Floxif sur la page de téléchargements de ProColored. Cameron Coward est tombé sur Floxif lors de l'installation de logiciels à partir d'un bâton USB fourni par ProColored, de sorte que cet écart peut être dû aux différences entre les versions exécutables de logiciels.

Dans tous les cas, Floxif et Xredrat sont des virus connus qui doivent être signalés par tout logiciel antivirus compétent. Karsten Hahn estime que la présence de ces virus est un signe de cybersécurité extrêmement médiocre dans le procolore. Il estime que les employés de l'entreprise ont utilisé des machines infectées pour télécharger des packages logiciels officiels, diffusant ainsi l'infection aux clients.

Il n'y a aucune preuve de malversations intentionnelles de ProColored. Si l'entreprise voulait pirater les ordinateurs des clients ou les transactions Bitcoin de détournement, elle n'utiliserait pas de logiciels malveillants obsolètes pour le faire. Xredrat et Snipvex ne fournissent plus d'accès à distance ou de fonctionnalité de vol Bitcoin. Leur seule fonction restante est l'auto-réplication.

Procolored a enlevé sa page de téléchargement de logiciels et a lancé une enquête interne le 8 mai. Il reconnaît maintenant qu'il a accidentellement distribué des logiciels malveillants, et son explication officielle est que « le logiciel hébergé sur notre site Web a été initialement transféré via des lecteurs USB… il est possible qu'un virus ait été introduit pendant ce processus. » La page de téléchargements procolorés est revenu en ligne il y a quelques jours, et des analystes tiers confirment que ses packages logiciels sont désormais gratuits de malware.

Pourtant, cette histoire n'inspire pas la confiance dans le procolore. L'entreprise n'a pas réussi à se protéger des menaces de base de la cybersécurité et a involontairement envoyé des logiciels malveillants aux clients pendant près de six mois. Je suis également enclin à souligner une note de bas de page intéressante dans la critique de Cameron Coward; « J'ai contacté le support ProColored quatre fois au cours de mes tests, pour obtenir de l'aide pour déterminer le logiciel et les paramètres. À chaque fois, l'agent a demandé plusieurs fois que je leur permettais de se connecter à distance à mon ordinateur. »

Encore une fois, ce vieux malware est facilement détectable par Windows Defender et d'autres solutions antivirus. La grande préoccupation ici est que les clients procolorés peuvent avoir ignoré les avertissements antivirus lors de la configuration d'une imprimante ou de l'installation de nouveaux pilotes. Si vous avez acheté un appareil procoré après novembre 2024, vérifiez s'il y a des exceptions dans votre logiciel antivirus – une exception pour Visual C ++ ou PrintExp peut indiquer une infection.

Votre logiciel antivirus devrait être en mesure de supprimer les infections Xredrat et Floxif, mais Snipvex n'a été découvert qu'il y a une semaine, il peut donc rester indétectable. Vous devrez formater vos disques et réinstaller votre système d'exploitation pour effacer l'infection – Snipvex ne peut plus voler Bitcoin, mais cela endommagera votre PC par réplication. Je suggère que les clients affectés lisent la couverture de Karsten Hahn à G Data Cybersecurity, qui comprend certains détails qui peuvent aider à la récupération des fichiers.

Nous avons contacté ProColored pour une déclaration et mettons à jour cet article si nous recevons une réponse.