Производителя принтеров Procolored заподозрили в рассылке вирусов-криптоворов

Факт наличия вирусов подтвердили эксперты по безопасности компании G DATA. Вредоносное ПО было обнаружено случайно, при подготовке обзора новейшего принтера Procolored UV на ютуб-канале Serial Hobbyism. Антивирусное программное обеспечение предупредило о вирусе, распространяющемся через USB, а также о заражении вирусом Floxif, прикрепляющемся к исполняемым файлам Portable Executable. Действие Floxif может распространяться на сетевые папки, съемные диски или резервные системы хранения данных. Дальнейшее антивирусное сканирование выявило совпадения сигнатур вирусов Win32.Backdoor.XRedRAT.A и MSIL.Trojan-Stealer.CoinStealer.H.

MSIL.Trojan-Stealer.CoinStealer.H используется для кражи данных на базе .NET, которое либо крадет криптовалютные кошельки, либо подменяет адреса криптотранзакций. Вирус сканирует буфер обмена, ищет контент, похожий на адрес транзакции с биткоинами, и заменяет его адресом злоумышленника, так что все криптовалютные транзакции должны незаметно для пользователя перенаправляться на адреса, контролируемые злоумышленником.  

Первоначально компания Procolored отвергла обвинения, назвав предупреждение антивируса ложным срабатыванием. Однако впоследствии в Procolored заявили, что вредоносное ПО могло попасть в загружаемые сервисные файлы из-за компрометации цепочек поставок, когда вредоносные файлы были введены в систему через зараженные USB-устройства перед загрузкой на сервер.

Эксперты G DATA рекомендовали пользователям, которые загрузили драйверы Procolored в последние полгода, запустить полную проверку системы или осуществить ее полный сброс, что является наиболее безопасным вариантом по профилактике заражения.

Ранее специалисты по компьютерной безопасности компании Check Point Research сообщили о вирусе Styx Stealer, который ворует большое количество пользовательских данных, в том числе адреса и пароли от криптовалютных кошельков.