En az yarım yıl boyunca, procolored yazıcılarla birlikte verilen resmi yazılım, bir uzaktan erişim truva atı ve bir kripto para çalkanı şeklinde kötü amaçlı yazılım içeriyordu.
Procolored, doğrudan film (DTF), UV DTF, UV ve doğrudan kıyma (DTG) yazıcıları yapan bir dijital baskı çözümleri sağlayıcısıdır. Özellikle uygun fiyatlı ve verimli kumaş baskı çözümleri ile bilinir.
Shenzhen merkezli şirket 2018’de başladığından beri hızla büyüdü ve şu anda 31’den fazla ülkede ürünlerini satıyor ve ABD’de önemli bir operasyonel varlık.
Seri hobi olarak bilinen bir YouTuber olan Cameron Coward, güvenlik çözümü, 7.000 dolarlık bir Procolored UV yazıcısı için eşlik eden yazılım ve sürücüleri yüklerken bilgisayarında Floxif USB solucanının varlığı konusunda uyardı.
Siber güvenlik şirketi G verilerinde araştırmacılar tarafından yapılan bir analiz, Procolored’in resmi yazılım paketleri kötü amaçlı yazılımları en az altı ay boyunca teslim etti.
Sıçanları ve madeni para çalkalarını keşfetmek
Makinesinde tehdit uyarıları aldıktan sonra, Coward, yazılımlarında nakliye kötü amaçlı yazılımını reddeden Procolored ile temasa geçti ve yanlış pozitifler üreten güvenlik çözümüne işaret etti.
Youtuber, “Dosyaları web sitelerinden indirmeye veya bana verdikleri USB sürücüsündeki dosyaları açmaya çalışırsam, bilgisayarım hemen karantinaya sahiptir.” Dedi.
Durumdan şaşkına dönen YouTuber, Procolored V11 Pro ürününü incelemesinde güvenle iddialarda bulunmadan önce kötü amaçlı yazılım analizinde yardım için Reddit’e döndü.
G veri araştırmacısı Karsten Hahn, kötü amaçlı yazılım içeren mega dosya paylaşım platformunda barındırılan eşlik eden yazılımlarla en az altı yazıcı modelinin (F8, F13, F13 Pro, V6, V11 Pro ve VF13 Pro) araştırmayı teklif etti.
Procolored, yazıcıları için yazılım kaynaklarını barındırmak için mega hizmeti kullanır ve resmi web sitesinin destek bölümünden bunlara doğrudan bir bağlantı sunar.
Kaynak: G verileri
Analist 39 dosya bulaşmış aşağıdakiler buldu:
- Kuru – daha önce Esentir tarafından analiz edilmiş bilinen kötü amaçlı yazılım. Yetenekleri arasında anahtarlama, ekran görüntüsü yakalama, uzaktan kabuk erişimi ve dosya manipülasyonu bulunur. Sabit kodlanmış C2 URL’leri eski örneklerle eşleşti.
- Snipvex – Daha önce belgelenmemiş bir Clipper kötü amaçlı yazılım .exe dosyalarını enfekte eden, bunlara ekleyen ve pano BTC adreslerinin yerini alan. Çoklu indirme dosyalarında tespit edildi. Muhtemelen enfekte olmuş procolored geliştirici sistemleri veya yapı makineleri.
Dosyalar en son Ekim 2024’te güncellendiğinden, kötü amaçlı yazılımların en az altı ay boyunca Procolored yazılımı ile gönderildiği varsayılabilir.
Kaynak: G verileri
Hahn, Snipvex’in çalınan kripto para birimini boşaltmak için kullandığı adresin yaklaşık 9.308 BTC aldığını ve bu da bugünkü döviz kurunda yaklaşık 1 milyon dolar değerinde olduğunu söyledi.
Procolored’in ilk inkârına rağmen, yazılım paketleri 8 Mayıs’ta kaldırıldı ve iç soruşturma başlatıldı.
G verileri yazıcı satıcısından bir açıklama istediğinde, Procolored dosyaları floxif tarafından enfekte olabilecek bir USB sürücüsü kullanarak mega.nz’a yüklediklerini itiraf etti.
“Önlem olarak, tüm yazılımlar Procolored resmi web sitesinden geçici olarak kaldırıldı,” dedi.
“Her dosyanın kapsamlı bir kötü amaçlı yazılımı taraması yapıyoruz. Yalnızca sıkı virüs ve güvenlik kontrolleri geçtikten sonra yazılım yeniden yüklenecek.”
G verileri temiz yazılım paketlerini aldı ve kullanımı güvenli olduklarını doğruladı.
Procolored müşterilerinin eski yazılımı yeni sürümlerle değiştirmeleri ve Xredrat ve Snipvex’i kaldırmak için bir sistem taraması yapmaları önerilir.
Snipvex’in ikili değişiklikler gerçekleştirdiği göz önüne alındığında, tüm dosyaların temiz olmasını sağlamak için sistemin daha derin bir şekilde temizlenmesi önerilir.
BleepingComputer, durum hakkında bir yorum ve müşterilerine risk hakkında bilgi verip vermedikleri ancak henüz bir yanıt almadık.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.