Автор:

Компания Procolored случайно распространяла вредоносное ПО вместе с официальным программным обеспечением для своих принтеров в течение примерно шести месяцев. Угроза затронула устройства, поставляемые с конца 2024 года, и могла нанести ущерб пользователям, не обратившим внимания на антивирусные предупреждения.

Procolored специализируется на производстве принтеров для ультрафиолетовой, прямой по ткани (DTG) и плёночной (DTF) печати. Стоимость её устройств может достигать $7000, и они ориентированы прежде всего на малый бизнес.

Как обнаружили заражение и какие вирусы участвовали

О первых сигналах заражения драйверов сообщалось ещё в начале года на Reddit. Однако широкую огласку проблема получила 13 мая 2025 года, когда блогер Кэмерон Кауард опубликовал обзор принтера Procolored на Hackster.io. В процессе установки драйверов Windows Defender выявил в одном из архивов вирус Floxif, а в другом — вредоносного «червя».

В ответ на обращение Кауарда служба поддержки Procolored заявила, что это ошибка антивируса. Тогда блогер передал файлы на анализ специалистам, в том числе Карстену Хану из G DATA CyberDefense. Те обнаружили, что 39 установочных файлов с официальной страницы Procolored на Mega содержали вирусы XRedRAT и SnipVex.

XRedRAT — известная вредоносная программа для удалённого доступа. Она позволяет считывать экран, фиксировать нажатия клавиш и просматривать содержимое диска. Однако в данном случае она была неактивна: серверы управления отключены с февраля 2024 года.

SnipVex оказался более опасным. Это ранее неизвестный вирус-клиппер, перехватывающий криптовалютные транзакции. Он распространяется через исполняемые файлы и перенаправляет переводы на вредоносный Bitcoin-адрес. Аналитики выяснили, что на этот адрес поступило 9,3 BTC (около $100 000). Последняя транзакция прошла 3 марта 2024 года.

Любопытно, что вирус Floxif не был обнаружен в онлайн-дистрибутивах Procolored. Предположительно, Кауард столкнулся с ним при установке с USB-накопителя, входившего в комплект принтера.

По мнению экспертов, заражение произошло из-за низкого уровня внутренней кибербезопасности компании. Возможно, сотрудники использовали заражённые компьютеры для подготовки программного обеспечения, что и привело к распространению вирусов.

Признаков умышленной атаки нет. Использование устаревшего вредоносного ПО и прекращённая активность удалённых серверов указывают на случайный характер инцидента. 8 мая 2025 года Procolored временно отключила страницу загрузок и начала внутреннее расследование. Через несколько дней обновлённый сайт заработал, и эксперты подтвердили, что новые архивы безопасны.

Тем не менее инцидент ставит под сомнение надёжность компании. На протяжении месяцев клиенты получали заражённое ПО, а поддержка неоднократно предлагала подключиться к компьютерам пользователей через удалённый доступ.

Антивирусы, включая Windows Defender, распознают XRedRAT и Floxif, однако SnipVex остаётся малозаметным. Для его удаления необходимо полностью отформатировать диск и переустановить систему. Визуально заражение может не проявляться, но оно продолжает нарушать работу ПК.

Пользователям, приобрёвшим устройства Procolored после ноября 2024 года, рекомендуется проверить исключения в антивирусе. Если среди них обнаружены Visual C++ или PrintExp — это может указывать на присутствие вируса.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии