Malware Pencuri Bitcoin dalam Driver Resmi Procolored
Produsen pencetak asal Cina, Procolored, diduga telah mendistribusikan malware pencuri Bitcoin bersamaan dengan driver resmi mereka, menurut laporan dari media lokal. Outlet berita asal Cina, Landian News, melaporkan pada 19 Mei bahwa perusahaan yang berbasis di Shenzhen ini mengunggah perangkat lunak yang terinfeksi malware ke penyimpanan cloud untuk diunduh secara global.
Kasus Pencurian BTC
Malware tersebut didistribusikan melalui driver USB, dan sejauh ini total 9,3 BTC, yang setara dengan lebih dari $953.000, dilaporkan telah dicuri. Perusahaan pelacakan dan kepatuhan crypto, Slow Mist, menjelaskan cara kerja malware ini dalam sebuah unggahan di X pada 19 Mei:
“Driver resmi yang disediakan oleh pencetak ini mengandung program backdoor. Program tersebut akan mengelabui alamat dompet di clipboard pengguna dan menggantinya dengan alamat yang dikuasai oleh penyerang.”
Peringatan untuk Pengguna
Landian News juga menyarankan pengguna yang mengunduh driver pencetak Procolored dalam enam bulan terakhir untuk “segera melakukan pemindaian sistem penuh menggunakan perangkat lunak antivirus.”
Namun, karena tidak semua perangkat lunak antivirus dapat diandalkan, melakukan reset sistem penuh juga disarankan: “Idealnya, Anda harus menginstal ulang sistem operasi dan memeriksa file-file lama secara menyeluruh.”
Temuan Awal
Masalah ini pertama kali dilaporkan oleh YouTuber Cameron Coward, yang menemukan bahwa perangkat lunak antivirusnya mendeteksi malware pada driver saat menguji pencetak UV Procolored. Selama pengujian, perangkat lunak tersebut menandai drive sebagai berisi worm dan virus trojan yang dikenal sebagai Foxif.
Tanggapan Procolored
Procolored membantah semua klaim tersebut dan menolak penandaan positif dari alat antivirus sebagai kesalahan. Namun, Coward melanjutkan berbagi pengalamannya di Reddit, menarik perhatian profesional keamanan siber dan perusahaan keamanan siber G-Data.
Penyelidikan G-Data menunjukkan bahwa sebagian besar driver Procolored dihosting di platform penyimpanan file MEGA, dengan unggahan tertua terdeteksi sejak Oktober 2023. Analisis terhadap file tersebut mengkonfirmasi adanya dua jenis malware yang berbeda: backdoor Win32.Backdoor.XRedRAT.A dan pencuri crypto yang dirancang untuk mengganti alamat di clipboard dengan alamat yang dikuasai oleh penyerang.
Langkah Tindakan Procolored
Setelah dihubungi, Procolored menyatakan bahwa mereka telah menghapus driver yang terinfeksi dari penyimpanan mereka pada 8 Mei dan telah memindai ulang semua file. Mereka juga menyebutkan bahwa malware tersebut berasal dari kompromi rantai pasokan, di mana file jahat diperkenalkan melalui perangkat USB yang terinfeksi sebelum diunggah secara online.
