Procoloredによるマルウェア配布の報道
中国のプリンターメーカーProcoloredが公式ドライバーを通じてビットコインを盗むマルウェアを配布していたという報道が、地元メディアから届きました。中国のニュースメディアLandian Newsは5月19日に、深圳に本社を構えるProcoloredが公式ドライバーに加え、ビットコインを盗む“View More”マルウェアを配布していたと明らかにしました。
マルウェアの配布方法と被害状況
同社はUSBドライバーを使用してマルウェアが含まれたドライバーを配布し、妥協されたソフトウェアをクラウドストレージにアップロードして、全世界でダウンロード可能な状態にしていたとされています。報告によると、合計で9.3 BTC、金額にして約$953,000が盗まれたとされています。
マルウェアの動作とおすすめの対策
暗号通貨の追跡およびコンプライアンス企業であるSlow Mistは、5月19日のXポストでマルウェアの動作について次のように説明しました。「このプリンターから提供される公式ドライバーにはバックドアプログラムが含まれており、ユーザーのクリップボード内のウォレットアドレスをハイジャックして攻撃者のアドレスに置き換えます。」
Landian Newsは、YouTuberがProcoloredのドライバーに内蔵されたマルウェアについて警告したことを報じています。過去6ヶ月間にProcoloredのプリンタードライバーをダウンロードしたユーザーには、「直ちにアンチウイルスソフトウェアを使用して完全なシステムスキャンを実行するように」と推奨しています。ただし、アンチウイルスソフトウェアの効果にはばらつきがあるため、確実を期すためには完全なシステムリセットを行うことが推奨されています。理想を言えば、オペレーティングシステムを再インストールし、古いファイルを徹底的にチェックすべきです。
YouTuberの報告とその影響
この問題はYouTuberのCameron Cowardによって最初に報告され、彼のアンチウイルスソフトウェアがProcoloredのUVプリンターをテスト中にドライバー内のマルウェアを検出しました。Cowardは、マルウェアにはワームとFoxifというトロイの木馬ウイルスが含まれているという警告を受けました。サイバーセキュリティ企業がこの暗号通貨を盗むマルウェアを確認した結果、Procoloredにコンタクトを取りましたが、同社はその主張を否定し、ドライバーをフラグ付けしたアンチウイルスツールを誤検知としました。
さらなる調査と企業の対応
CowardはRedditに投稿し、サイバーセキュリティの専門家たちと問題を共有。この投稿はサイバーセキュリティ企業G-Dataの注目を集めました。G-Dataの調査によると、ProcoloredのほとんどのドライバーがファイルホスティングサービスMEGAにホストされており、2023年10月までさかのぼるアップロードが発見されました。
これらのファイルを分析した結果、バックドアWin32.Backdoor.XRedRAT.Aと、クリップボード内のアドレスを攻撃者の管理下にあるものに置き換える暗号通貨盗難用のマルウェアが含まれていることが確認されました。
G-DataはProcoloredに連絡し、ハードウェア製造業者は5月8日に感染したドライバーをストレージから削除し、全ファイルを再スキャンしたと述べています。Procoloredは、このマルウェアをサプライチェーンの妥協によるものであり、悪意のあるファイルが感染したUSBデバイスを通じて導入された後、オンラインにアップロードされたと説明しています。
