Компания по производству принтеров в течение полугода обеспечивала загрузку зараженного программного обеспечения

Как обнаружили угрозу

• Ютубер Cameron Coward (канал Serial Hobbyism) при подключении USB-накопителя с ПО для принтера Procolored получил предупреждение антивируса о заражении червем Floxif.
• Компания сначала назвала это ложным срабатыванием, но после проверки выяснилось, что официальные загрузки на сайте Procolored содержат вредоносный код.
• Аналитик из Reddit проверил файлы и обнаружил 39 зараженных образцов в разделах загрузки для моделей F8, F13, V6, V11 Pro и других.

Что нашли в ПО

Бэкдор XRedRAT

• Позволяет злоумышленникам удаленно управлять системой: красть данные, делать скриншоты, запускать команды через cmd.exe.
• Идентичен образцу, описанному eSentire в 2024 году - использует те же нерабочие URL для загрузки дополнений.
• Встроен в файл PrintExp.exe, который после выполнения вредоносного кода запускает легитимную часть программы.

Вирус SnipVex (CoinStealer.H)

• Заражает EXE-файлы, добавляя себя в начало программы.
• Крадет криптовалюту, подменяя BTC-адреса в буфере обмена на кошелек злоумышленника (уже получено ~$100 000).
• Распространяется через USB-накопители и сетевые диски.

Как произошло заражение?

• Procolored заявила, что ПО передавалось через USB-накопители, что могло привести к заражению.
• SnipVex, вероятно, попал на серверы разработчиков и начал заражать файлы автоматически.
• 8 мая компания удалила все зараженные файлы с сайта и начала проверку.

Procolored пообещала усилить безопасность, но инцидент показывает, насколько уязвимы даже официальные поставщики оборудования.

URLs

• https://mega.nz/folder/3MBG0Rra#eebBaK_Fu6bJs3ZBIhUFiQ
• https://mega.nz/folder/eMxjWAgT#r1YEU0KYupfcoBKQQrenSQ
• https://mega.nz/folder/TNAWTDKL#zR5Atn68a807Qn17FjXFxA
• https://mega.nz/folder/yEBVBbwY#0qxlY0S_DXosumSxP38nVg
• https://mega.nz/folder/zBgEiY4K#veoSD-6LgC12yZdqs1G_Ow
• https://mega.nz/folder/zM413Jbb#crz2GQgj2EFAut4vxfS8Ag

SHA256

• 0f8bf833d6673dcba58347b9bde618969b948268d42fbb17d48f68cbc925109e
• 1f44d8ab5cbb8e9a5673c8148367b9b0dd34cb947bb4c8297c03c5febfc8f8ab
• 2114fe34d510894985ed6dd1d737414fcc7ec023a0980469fc6db580698b8ecc
• 332deb26f74b6e6633214fe3ca7e95e4c6861d6eac0f9a792c3f2154adea73c7
• 39df537aaefb0aa31019d053a61fabf93ba5f8f3934ad0d543cde6db1e8b35d1
• 455374fe0f6f4123ecc9282189c67d261c877beba79ea77eb561dfb7a689a546
• 4a4164fb3867e39506f316e2bc038ebaceacc51453e2e98ed132880b3dfe84b6
• 4de65f542bc2a144d0e220e93f367c08bf008045fcc1fddbc4e54af62e7da847
• 531d08606455898408672d88513b8a1ac284fdf1fe011019770801b7b46d5434
• 644c045bf502f502bcbf61bc0593dd54949058c4a7837725d1043172925056ba
• 6d86f66c81c2c3e1a524fd8a8598e76d939bdf3cd8f7411036f7d5ca15afe622
• 790bb3e769ef33f824015c5c814a29bde7f852c66f76647486d5c5fa3daafc1c
• 7ae9e8b68f77bf0970feb2fcf80d830cbfaef49dd02828fd0086d4a64b713a64
• 7f9657992c3c6169f629a8a12885eb5468482eba23e5f310d37ef0458ae8f87a
• 81de4cedda6109eacc9a3903a30e3a11622668ce6af533f94beadad052f591fb
• 84ef938a63641cf95a87ceaeb3b4893eb720fb5b42a5f42021c29ba11bda0f39
• 85bae4b38f2bab647546bd4a5193bedaf7f153b23fcdd13e1189e34075c2f792
• 995c9822c1803851301b060c4dbfe369e423d694e18fe526e0468150d8a79231
• b14c855ad7600ac9fda2c46b290acac1342d0e08dc1a95901504d8c5aa206606
• bfb9d8af2c57f055c1e35effb1f42410238981bc16cee96f045aca50ff495550
• eade6f6e514c5c8f079e160538683b30e59e0396f99d7ec38da02ebefac7a104