Официальное ПО, которое поставлялось с принтерами Procolored, содержало троян удаленного доступа и малварь для кражи криптовалюты. Производитель распространял зараженный софт не менее полугода.
Китайская компания Procolored — поставщик решений для цифровой печати, выпускающий принтеры типа Direct-to-Film (DTF), UV DTF, UV и Direct-to-Garment (DTG). В частности, компания широко известна благодаря недорогим продуктам, предназначенным для печати на ткани.
Первым малварь в ПО Procolored обнаружил ютубер Кэмерон Ковард (Cameron Coward), известный под ником Serial Hobbyism. Его антивирус предупредил о наличии USB-червя Floxif при установке сопутствующего софта и драйверов для принтера Procolored V11 Pro.
По словам Коварда, он пытался связаться с компанией Procolored, однако производитель отрицал наличие вредоносного ПО в своем ПО, заявляя, что антивирусы могут генерировать ложные срабатывания.
«Если я пытаюсь загрузить файлы с их сайта или распаковать файлы с USB-накопителя, [который поставлялся в комплекте], мой компьютер немедленно помещает их в карантин», — рассказывал Ковард в своем видео.
Согласно анализу, проведенному исследователями из компании G Data, официальные пакеты ПО Procolored действительно распространяли малварь, и это длилось не менее шести месяцев.
Исследователи G Data обнаружили, что софт еще как минимум для шести моделей принтеров (F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro), размещенный в файлообменнике Mega, содержит вредоносное ПО. Отмечается, что компания Procolored использует Mega для размещения своего программного обеспечения, и раздел поддержки на официальном сайте содержит прямые ссылки на файлообменник.
В общей сложности аналитики нашли 39 файлов, которые были заражены следующими вредоносами.
- XRedRAT — малварь, ранее изученная экспертами eSentire. Может использоваться для перехвата нажатий клавиш, создания снимков экрана, удаленного шелл-доступа и манипулирования файлами. Жестко закодированные адреса управляющих серверов соответствуют старым образцам.
- SnipVex — ранее неизвестный клиппер, который заражает файлы .EXE, прикрепляется к ним и подменяет BTC-адреса в буфере обмена. Обнаружен в нескольких загруженных файлах. Предположительно, этим вредоносом заражены системы разработчиков Procolored или машины для сборки.
Поскольку файлы последний раз обновлялись в октябре 2024 года, можно предположить, что малварь поставляется вместе с официальным софтом Procolored не менее полугода.
Отмечается, что на адрес, который SnipVex использует для получения краденой криптовалюты, поступило уже 9,308 BTC, то есть почти 1 млн долларов по текущему курсу.
Хотя после исходного предупреждения ютубера представители Procolored все отрицали, 8 мая 2025 года компания удалила зараженные программные пакеты и начала внутреннее расследование.
Когда специалисты G Data обратились к производителю за объяснениями, в Procolored призналась, что могли загрузить файлы на Mega.nz с помощью USB-накопителя, который был заражен малварью Floxif.
«В качестве меры предосторожности с официального сайта Procolored было временно удалено все программное обеспечение, — сообщили в Procolored. — Мы проводим всестороннюю проверку каждого файла на наличие вредоносного ПО. Только после прохождения строгих проверок программное обеспечение будет опубликовано снова».
Эксперты G Data уже изучили «чистые» программные пакеты Procolored и подтвердили, что они безопасны для использования.
Всем пользователям Procolored рекомендуется как можно скорее заменить старое ПО на новые версии и выполнить сканирование своих систем для удаления XRedRAT и SnipVex.
