19/05/25
Установка драйверов с официальных источников могла привести к полному взлому системы пользователя и утечке средств с криптокошельков. Принтеры бренда пользуются популярностью благодаря доступной цене и качеству печати, особенно среди владельцев мастерских и малого бизнеса, пишут в Securitylab. Однако начиная с октября 2024 года, пользователи могли невольно становиться жертвами заражения, устанавливая программное обеспечение прямо с сайта производителя или с флешки, прилагаемой к устройству.
Проблему впервые заметил YouTube-блогер Cameron Coward. При установке драйверов для своего нового принтера Procolored стоимостью $7000 он получил срабатывание антивируса на Floxif — известного USB-червя. По его словам, даже при попытке распаковать файлы вручную с флешки или повторно скачать их с сайта, система моментально помещала их в карантин. После обращения в поддержку Procolored ему сообщили, что речь идёт о ложных срабатываниях.
Не удовлетворившись ответом, Coward обратился за помощью к пользователям Reddit, где ему откликнулся аналитик кибербезопасности из компании G Data. Проведённый анализ показал, что заражёнными оказались не только отдельные экземпляры, а сразу несколько моделей устройств: F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro. ПО для этих принтеров распространялось через платформу Mega.nz — ссылки на файлы размещались на странице поддержки официального сайта Procolored.
В общей сложности было выявлено 39 заражённых файлов. Внутри них специалисты обнаружили два вида вредоносного кода. Первый — XRedRAT, троян удалённого доступа, ранее изученный eSentire. Он способен выполнять кейлоггинг, снимать скриншоты экрана, управлять файлами и получать удалённый доступ к системе. Его конфигурационные параметры содержали те же C2-адреса, что и в известных сэмплах.
Второй вирус оказался новым и ранее не описанным — клипер под названием SnipVex. Этот вирус внедряется в исполняемые .EXE-файлы, после чего скрытно подменяет адреса Bitcoin-кошельков в буфере обмена. Всё, что пользователь копирует для перевода — например, свой адрес BTC — незаметно заменяется на кошелёк злоумышленника. По подсчётам G Data, адрес, на который SnipVex перенаправлял средства, уже получил 9308 BTC — почти миллион долларов по текущему курсу. По всей видимости, клипер попал в сборку не специально, а из-за заражения компьютеров разработчиков или автоматизированной сборочной инфраструктуры компании.
Файлы с вредоносным содержимым были удалены с сайта Procolored 8 мая 2025 года, после запроса от G Data. Изначально производитель отрицал наличие вредоносного кода, однако позднее признал, что загрузка могла производиться с USB-носителя, заражённого Floxif. Компания начала внутреннее расследование и пообещала провести полную проверку всех программных пакетов. В официальном заявлении для G Data Procolored сообщила, что временно сняла все загрузки с сайта и повторно разместит только те файлы, которые пройдут расширенное антивирусное тестирование.
После проверки G Data подтвердила, что обновлённые версии программного обеспечения больше не содержат вредоносных компонентов. Клиентам Procolored рекомендуется немедленно удалить старые версии драйверов и заменить их на проверенные. Также следует выполнить полную проверку системы с использованием современных антивирусов. В случае заражения SnipVex потребуется более глубокая очистка, поскольку вирус встраивается в другие файлы и может незаметно оставаться активным даже после стандартного удаления.
