少なくとも半年以上にわたって、Procolored社製プリンターに付属する公式ソフトウェアに、リモート・アクセス・トロイの木馬や暗号通貨を盗むマルウェアが含まれていた。
プロカラー社は、DTF(Direct-to-Film)、UV DTF、UV、DTG(Direct-to-Garment)プリンターを製造するデジタル印刷ソリューション・プロバイダーである。特に、手頃な価格で効率的な布地印刷ソリューションで知られている。
深センを拠点とする同社は、2018年の創業以来急成長を遂げ、現在では31カ国以上で製品を販売しており、米国でも重要な事業展開を行っている。
Serial Hobbyismとして知られるYouTuberのキャメロン・カワードは、7,000ドルのProcolored UVプリンターの付属ソフトウェアとドライバーをインストールする際に、彼のセキュリティ・ソリューションがFloxif USBワームの存在を警告したことから、このマルウェアを発見した。
サイバーセキュリティ企業G Dataの研究者が行った分析によると、Procoloredの公式ソフトウェアパッケージは、少なくとも6ヶ月間マルウェアを配信していた。
RATとコイン泥棒の発見
彼のマシンに脅威のアラートが表示された後、カワード氏はプロコロレッド社に連絡した。プロコロレッド社は、自社のソフトウェアにマルウェアが含まれていることを否定し、セキュリティ・ソリューションが誤検知を起こすことを指摘した。
「彼らのウェブサイトからファイルをダウンロードしようとしたり、彼らがくれたUSBドライブのファイルを解凍しようとすると、私のコンピュータはすぐにそれらを隔離してしまいます」とYouTuberは語った。
この状況に困惑したYouTuberは、Procolored V11 Pro製品のレビューで自信を持って申し立てを行う前に、マルウェア解析の助けをRedditに求めた。
G Dataの研究者であるKarsten Hahnが調査を申し出たところ、少なくとも6つのプリンターモデル(F8、F13、F13 Pro、V6、V11 Pro、VF13 Pro)と、Megaファイル共有プラットフォームでホストされている付属ソフトウェアにマルウェアが含まれていることが判明した。
Procolored社は、同社のプリンター用のソフトウェア・リソースをホストするためにMegaサービスを使用しており、公式ウェブサイトのサポート・セクションからそれらへの直接リンクを提供している。
でホストされているファイル:G Data
アナリストは、39のファイルに感染していることを発見しました:
- XRedRAT– 以前eSentireによって分析された既知のマルウェア。その機能には、キーロギング、スクリーンショットのキャプチャ、リモートシェルアクセス、ファイル操作が含まれます。ハードコードされたC2 URLは、古いサンプルと一致しました。
- SnipVex – 以前は文書化されていなかったクリッパー型マルウェアで、.EXEファイルに感染し、そのファイルにアタッチし、クリップボードのBTCアドレスを置き換えます。複数のダウンロードファイルから検出されました。Procolored開発者システムまたはビルドマシンに感染した可能性が高い。
ファイルの最終更新が2024年10月であることから、このマルウェアは少なくとも6ヶ月間はProcoloredソフトウェアと一緒に出荷されていたと推測できます。
ソースはこちら:G Data
ハーン氏によると、SnipVexが盗んだ暗号通貨をオフロードするために使用しているアドレスは、今日の為替レートでほぼ100万ドル相当の約9.308BTCを受け取っているという。
Procolored社は当初否定していたが、ソフトウェアパッケージは5月8日に削除され、内部調査が開始された。
G Dataがプリンターベンダーに説明を求めたところ、ProcoloredはFloxifに感染した可能性のあるUSBドライブを使用してMega.nzにファイルをアップロードしていたことを認めた。
「予防措置として、Procoloredの公式ウェブサイトからすべてのソフトウェアを一時的に削除しました。
「私たちは、すべてのファイルの包括的なマルウェアスキャンを行っています。厳格なウイルス・チェックとセキュリティ・チェックに合格した後、ソフトウェアを再アップロードします。”
G Dataはクリーンなソフトウェアパッケージを受け取り、安全に使用できることを確認した。
Procolored の顧客には、古いソフトウェアを新しいバージョンと交換し、XRedRAT と SnipVex を削除するためにシステムスキャンを実行することが推奨されます。
SnipVexがバイナリの改変を行うことを考えると、すべてのファイルがクリーンであることを確認するために、システムのより深いクリーニングが推奨されます。
はProcolored社に、この状況および顧客にこのリスクを通知したかどうかについてのコメントを求めましたが、まだ回答は得られていません。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments