Китайская компания Procolored, известная производством принтеров, предоставляла клиентам официальные драйверы и утилиты с ее сайта, которые содержат вредоносный код для кражи криптовалют, сообщили специалисты по информационной безопасности
Заражение подтвердили эксперты из G DATA, выявив в программном обеспечении «черный ход», предназначенный для кражи криптовалют.
Инцидент вскрылся случайно во время тестирования новинки от Procolored - принтера с технологией UV-печати. На YouTube-канале Serial Hobbyism антивирусное ПО среагировало на подозрительную активность, связанную с USB-устройствами. Дополнительный анализ выявил присутствие трояна Floxif, способного заражать исполняемые файлы и распространяться по сетевым папкам, внешним накопителям и резервным копиям.
Более глубокое сканирование системы показало наличие вирусов Win32.Backdoor.XRedRAT.A и MSIL.Trojan-Stealer.CoinStealer.H. Последний - особенно опасный: это вредоносное ПО, созданное на базе .NET, которое отслеживает буфер обмена пользователя, выискивает в нем адреса криптовалютных кошельков и заменяет их на адреса, контролируемые хакерами. В итоге криптовалюта может быть незаметно перенаправлена на сторонние счета.
Сначала Procolored попыталась списать инцидент на ложное срабатывание антивирусов, однако позже признала, что могла иметь место кибератака через зараженные USB-носители, используемые в процессе загрузки утилит на сайт - это указывает на возможную компрометацию цепочки поставок.
Специалисты G DATA настоятельно советуют всем пользователям, скачивавшим ПО Procolored за последние шесть месяцев, выполнить полное сканирование системы или даже произвести сброс настроек, чтобы исключить скрытое заражение.
Инцидент с Procolored - не единичный случай: ранее исследователи из Check Point предупреждали о вирусе Styx Stealer, активно похищающем данные, включая пароли и адреса криптокошельков.
Источник
Уникальность
