Procolored 打印机恶意软件事件概述
根据当地媒体的报道,中国打印机制造商Procolored在其官方驱动程序中传播了一种比特币盗窃恶意软件。中国新闻机构Landian News于5月19日报道,总部位于深圳的Procolored打印机公司将该恶意软件与其官方驱动程序一起发布。
恶意软件的传播与影响
该公司据称通过USB驱动器分发感染恶意软件的驱动程序,并将其上传到云存储供全球下载。根据报道,共有9.3 BTC(价值超过95.3万美元)被盗。加密货币追踪和合规公司Slow Mist在5月19日的社交媒体帖子中描述了该恶意软件的工作原理:
“该打印机提供的官方驱动程序携带一个后门程序,它会劫持用户剪贴板中的钱包地址并将其替换为攻击者的地址。”
用户的安全建议
根据Landian News的建议,所有在过去六个月内下载过Procolored打印机驱动程序的用户应“立即使用杀毒软件进行全面系统扫描”。然而,由于杀毒软件的准确性可能存在波动,若不确定时,进行系统重置始终是更好的选择:
“理想情况下,您应重新安装操作系统并认真检查旧文件。”
事件的初步检测与后续调查
这一问题据称是由YouTuber Cameron Coward首次报告的,他的杀毒软件在测试Procolored UV打印机时检测到了驱动程序中的恶意代码。该软件将该驱动程序标记为包含蠕虫和名为Foxif的木马病毒。
网络安全公司确认了这起加密货币盗窃恶意软件事件。联系后,Procolored否认了这些指控,并将引发杀毒工具警报的驱动程序标记为误报。然而,Coward转向Reddit,与网络安全专家分享了这一问题,吸引了网络安全公司G-Data的注意。
G-Data的调查结果
G-Data的调查发现,Procolored的大部分驱动程序托管在文件托管服务MEGA上,上传时间早至2023年10月。对这些文件的分析确认它们受到了两种不同恶意软件的感染:后门Win32.Backdoor.XRedRAT.A和一种旨在用攻击者控制的地址替换剪贴板中地址的加密盗窃者。
在联系Procolored后,该硬件制造商表示,他们已于5月8日从云存储中删除了感染的驱动程序,并重新扫描了所有文件。Procolored将恶意软件的来源归因于供应链的妥协,声称这些恶意文件是通过感染的USB设备在被上传到网上之前引入的。
