最早的警报来自YouTube频道“SerialHobbyism”的创建者CameronCoward。Coward以DIY电子产品和技术评测闻名。当时,他正在评测一台价值6000美元的ProcoloredUV打印机,并尝试从随附的USB驱动器安装配套软件,这时他的杀毒软件标记了恶意软件。识别出的威胁包括一种USB传播蠕虫和一种Floxif文件感染程序。当Coward向Procolored报告此问题时,该公司最初认为这是误报。
Coward仍然不相信Procolored的保证,于是他转向Reddit寻求专家见解。那篇帖子引起了网络安全公司GData的注意,该公司决定进一步调查。他们的一位分析师检查了Procolored的公开软件下载托管在mega.nz上,大部分最新更新时间为2023年10月左右。
调查证实,恶意软件不仅存在于考沃德的U盘中,还存在于多款打印机型号的官方下载文件中。GData发现了两个主要威胁:Win32.Backdoor.XRedRAT.A一个基于Delphi的后门程序,以及MSIL.Trojan-Stealer.CoinStealer.H一个用.NET编写的加密货币窃取程序。虽然Floxif并未出现在GData审查的网站下载文件中,但它在考沃德的U盘中的存在表明,在更早的阶段,环境可能存在更严重的安全漏洞。
GData援引eSentire的早期分析称,XRedRAT后门是一种较老的恶意软件,据报道,当eSentire在2024年2月记录到其命令和控制服务器URL时,这些URL已经处于离线状态。此特定实例似乎至少从那时起就一直处于非活动状态。GData将其命名为“SnipVex”,这是一个特别棘手的威胁。它以剪贴板程序的形式运行,将复制的加密货币地址与攻击者控制的地址交换,并且还可以通过将自身附加到可执行文件中来充当文件感染程序。以下是负责将剪贴板中的比特币地址替换为攻击者地址的代码:
GData的研究显示,在2024年3月3日活动停止之前,链接到SnipVex的比特币地址已经收到大约9.3BTC,约合100000美元。在Procolored的可下载文件中发现的广泛感染意味着恶意软件有可能通过开发人员的工作站或公司的构建服务器传播。
在GData提交了详细的调查结果后,Procolored向Coward提供了比最初否认更为实质性的回应。该公司声明:
官方网站上托管的软件最初是通过USB驱动器传输的。在此过程中可能引入了病毒。此外,由于PrintEXP软件默认为中文,某些国际操作系统可能会错误地将其标记或误认为恶意软件,尤其是在系统无法很好地处理非英语程序的情况下。
Procolored还提到,它已于2024年5月8日左右从其网站上暂时删除所有软件,以进行全面扫描,并正在提供新的、干净的软件包,GData通过检查新文件证实了这一说法。
对于可能受到影响的用户,GData建议检查打印机软件是否已排除任何杀毒软件,因为官方供应商的软件通常受到默认信任。由于Floxif和SnipVex等文件感染程序可能会严重损坏系统文件,因此这家网络安全公司建议,最安全的做法通常是彻底重新格式化所有驱动器并全新安装操作系统。
虽然XRedRAT后门很可能因其离线命令和控制服务器而失效,但SnipVex仍然令人担忧,因为它具有感染文件的能力,即使它已经停止窃取比特币。GData没有发现Procolored故意传播该恶意软件的证据,该公司也已承诺改进其内部流程。如果您对此感兴趣,Coward对ProcoloredUV打印机的评测可在Hackster.io上找到。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】