Procolored의 악성코드 배포 사건
중국의 프린터 제조업체 Procolored가 공식 드라이버와 함께 비트코인을 탈취하는 악성코드를 배포한 것으로 확인되었습니다. 5월 19일, 중국 뉴스 매체인 Landian News는 선전 기반의 프린터 회사 Procolored가 공식 드라이버와 함께 비트코인을 탈취하는 “View More”라는 악성코드를 배포하고 있다고 보도했습니다.
악성코드의 작동 방식
이 회사는 USB 드라이버를 통해 악성코드가 탑재된 드라이버를 배포하며, 손상된 소프트웨어를 클라우드 저장소에 업로드하여 전 세계에서 다운로드할 수 있게 했다고 전해졌습니다. 보도에 따르면, 총 9.3 BTC, 즉 953,000 달러 이상이 탈취되었습니다. 암호화폐 추적 및 규제 준수 전문 기업인 Slow Mist는 5월 19일 X 포스트에서 악성코드의 작동 방식을 설명했습니다:
“이 프린터에서 제공하는 공식 드라이버는 백도어 프로그램을 포함하고 있으며, 사용자의 클립보드에 있는 지갑 주소를 가로챈 후 공격자의 주소로 대체합니다.”
사용자에 대한 권고
Landian News는 최근 6개월 동안 Procolored 프린터 드라이버를 다운로드한 사용자들에게 “즉시 안티바이러스 소프트웨어로 시스템을 전체 스캔할 것을 권장한다”고 밝혔습니다. 그러나 안티바이러스 소프트웨어의 신뢰성에 따라 결과가 다를 수 있으므로, 의심스러운 경우 전체 시스템 초기화가 더 나은 선택일 수 있다고 덧붙였습니다:
“이상적으로는 운영 체제를 재설치하고 이전 파일들을 철저히 확인해야 합니다.”
문제의 최초 보고 및 확인
이 문제가 처음 보고된 것은 유튜버 Cameron Coward로, 그는 Procolored UV 프린터 테스트 중 안티바이러스 소프트웨어가 드라이버 내에서 악성코드를 감지했다고 밝혔습니다. 소프트웨어는 드라이버 내에 웜과 Foxif라는 이름의 트로이 목마가 포함되었다고 지적했습니다.
Procolored의 반응
Procolored에 연락했을 때, 이 회사는 이러한 주장을 부인하며 드라이버를 경고한 안티바이러스 도구를 허위 긍정으로 분류했습니다. Cameron Coward는 Reddit에 문제를 공유하여 사이버 보안 전문가들의 주목을 받게 되었고, 사이버 보안 회사 G-Data도 이 문제에 대해 관심을 가지게 되었습니다. G-Data의 조사 결과, Procolored의 드라이버는 대부분 파일 호스팅 서비스인 MEGA에 호스팅되어 있으며, 업로드된 파일은 2023년 10월까지 포함되어 있는 것으로 확인되었습니다.
파일 분석 결과, 두 가지 다른 악성코드에 의해 손상된 것을 확인했습니다: 백도어 Win32.Backdoor.XRedRAT.A와 클립보드의 주소를 공격자가 통제하는 주소로 대체하는 암호화폐 탈취기입니다. G-Data는 Procolored에 연락하였고, 하드웨어 제조업체는 5월 8일 감염된 드라이버를 저장소에서 삭제하고 모든 파일을 재스캔했다고 밝혔습니다.
Procolored는 악성코드가 공급망 침해로 인한 것이라고 주장하며, 악성 파일이 감염된 USB 장치를 통해 온라인에 업로드되기 전에 도입되었다고 설명했습니다.
