Thông tin về cáo buộc phát tán phần mềm độc hại
Theo báo cáo từ các phương tiện truyền thông địa phương, nhà sản xuất máy in Trung Quốc Procolored đã bị cáo buộc phát tán phần mềm độc hại dùng để đánh cắp Bitcoin thông qua các trình điều khiển chính thức của mình. Cổng thông tin tin tức Trung Quốc, Landian News, đưa tin vào ngày 19 tháng 5 rằng công ty máy in có trụ sở tại Thâm Quyến này đã phát tán phần mềm độc hại thông qua các trình điều khiển USB, cho phép tải xuống toàn cầu từ kho lưu trữ đám mây của họ. Tổng cộng, khoảng 9.3 BTC, tương đương hơn 953.000 đô la, đã bị đánh cắp, theo nguồn tin.
Chi tiết về cách thức hoạt động của phần mềm độc hại
Công ty theo dõi và kiểm tra tuân thủ Crypto Slow Mist đã mô tả cách hoạt động của phần mềm độc hại trong một bài đăng trên nền tảng X vào ngày 19 tháng 5:
“Trình điều khiển chính thức được cung cấp bởi máy in này mang theo một chương trình backdoor. Nó sẽ đánh cắp địa chỉ ví trong clipboard của người dùng và thay thế nó bằng địa chỉ của kẻ tấn công.”
Khuyến cáo dành cho người dùng
Người dùng được khuyến cáo phải cảnh giác: Landian News khuyên tất cả những ai đã tải xuống trình điều khiển máy in Procolored trong sáu tháng qua nên “ngay lập tức thực hiện quét toàn bộ hệ thống bằng phần mềm diệt virus.” Tuy nhiên, xét đến sự không chắc chắn về hiệu quả của phần mềm diệt virus, việc cài đặt lại toàn bộ hệ thống thường là lựa chọn an toàn hơn khi có dấu hiệu nghi vấn:
“Lý tưởng nhất, bạn nên cài đặt lại hệ điều hành của mình và kiểm tra kỹ lưỡng các tệp cũ.”
Phát hiện và phản ứng từ Procolored
Vấn đề này được cho là đã được YouTuber Cameron Coward phát hiện lần đầu, khi phần mềm diệt virus của anh thông báo về việc phát hiện ra phần mềm độc hại trong các trình điều khiển khi thử nghiệm một máy in UV của Procolored. Phần mềm này đã cảnh báo rằng ổ đĩa chứa một worm và một virus Trojan có tên là Foxif.
Khi được liên hệ, Procolored đã bác bỏ các cáo buộc và phủ nhận dấu hiệu của công cụ diệt virus liên quan đến các trình điều khiển này là kết quả dương tính giả. Coward đã chia sẻ vấn đề này trên Reddit, thu hút sự chú ý của các chuyên gia an ninh mạng và công ty G-Data. Cuộc điều tra của G-Data xác nhận rằng phần lớn trình điều khiển của Procolored được lưu trữ trên dịch vụ MEGA, với nhiều tệp được tải lên từ tháng 10 năm 2023.
Phân tích các tệp này đã xác nhận rằng chúng bị xâm phạm bởi hai loại phần mềm độc hại khác nhau: backdoor Win32.Backdoor.XRedRAT.A và một loại phần mềm đánh cắp crypto, thiết kế để thay thế địa chỉ trong clipboard bằng các địa chỉ mà kẻ tấn công kiểm soát. G-Data đã liên hệ với Procolored, và nhà sản xuất phần cứng này cho biết họ đã xóa các trình điều khiển bị nhiễm khỏi kho lưu trữ của mình vào ngày 8 tháng 5 và quét lại tất cả các tệp. Procolored quy lỗi phần mềm độc hại cho việc xâm phạm chuỗi cung ứng, cho rằng các tệp độc hại đã được đưa vào thông qua các thiết bị USB bị nhiễm trước khi được tải lên trực tuyến.
