如果您拥有一台 Procolored 喷墨打印机,特别是 UV 型号,您可能需要检查您的系统是否存在恶意软件,特别是如果您在过去六个月内下载了官方的配套软件就更应该引起重视,因为最近安全研究人员发现 Procolored 正在分发恶意软件。
最早的警报来自 YouTube 频道“Serial Hobbyism”的创建者 Cameron Coward。Coward 以 DIY 电子产品和技术评测闻名。当时,他正在评测一台价值 6000 美元的 Procolored UV 打印机,并尝试从随附的 USB 驱动器安装配套软件,这时他的杀毒软件标记了恶意软件。识别出的威胁包括一种 USB 传播蠕虫和一种Floxif 文件感染程序。当 Coward 向 Procolored 报告此问题时,该公司最初认为这是误报。
Coward 仍然不相信 Procolored 的保证,于是他转向 Reddit寻求专家见解。那篇帖子引起了网络安全公司 G Data 的注意,该公司决定进一步调查。他们的一位分析师检查了Procolored 的公开软件下载托管在mega.nz上,大部分最新更新时间为 2023 年 10 月左右。
VF 11 Pro meganz 下载 |图片来自G Data
调查证实,恶意软件不仅存在于考沃德的U盘中,还存在于多款打印机型号的官方下载文件中。G Data 发现了两个主要威胁:Win32.Backdoor.XRedRAT.A一个基于 Delphi 的后门程序,以及MSIL.Trojan-Stealer.CoinStealer.H一个用 .NET 编写的加密货币窃取程序。虽然 Floxif 并未出现在 G Data 审查的网站下载文件中,但它在考沃德的 U盘中的存在表明,在更早的阶段,环境可能存在更严重的安全漏洞。
G Data 援引eSentire 的早期分析称,XRedRAT 后门是一种较老的恶意软件,据报道,当 eSentire 在 2024 年 2 月记录到其命令和控制服务器 URL 时,这些 URL 已经处于离线状态。此特定实例似乎至少从那时起就一直处于非活动状态。G Data 将其命名为“SnipVex”,这是一个特别棘手的威胁。它以剪贴板程序的形式运行,将复制的加密货币地址与攻击者控制的地址交换,并且还可以通过将自身附加到可执行文件中来充当文件感染程序。以下是负责将剪贴板中的比特币地址替换为攻击者地址的代码:
G Data 的研究显示,在 2024 年 3 月 3 日活动停止之前,链接到 SnipVex 的比特币地址已经收到大约 9.3 BTC,约合 100000 美元。在 Procolored 的可下载文件中发现的广泛感染意味着恶意软件有可能通过开发人员的工作站或公司的构建服务器传播。
在 G Data 提交了详细的调查结果后,Procolored 向 Coward 提供了比最初否认更为实质性的回应。该公司声明:
官方网站上托管的软件最初是通过USB驱动器传输的。在此过程中可能引入了病毒。此外,由于PrintEXP软件默认为中文,某些国际操作系统可能会错误地将其标记或误认为恶意软件,尤其是在系统无法很好地处理非英语程序的情况下。
Procolored 还提到,它已于 2024 年 5 月 8 日左右从其网站上暂时删除所有软件,以进行全面扫描,并正在提供新的、干净的软件包,G Data 通过检查新文件证实了这一说法。
对于可能受到影响的用户,G Data 建议检查打印机软件是否已排除任何杀毒软件,因为官方供应商的软件通常受到默认信任。由于 Floxif 和 SnipVex 等文件感染程序可能会严重损坏系统文件,因此这家网络安全公司建议,最安全的做法通常是彻底重新格式化所有驱动器并全新安装操作系统。
虽然 XRedRAT 后门很可能因其离线命令和控制服务器而失效,但 SnipVex 仍然令人担忧,因为它具有感染文件的能力,即使它已经停止窃取比特币。G Data 没有发现 Procolored 故意传播该恶意软件的证据,该公司也已承诺改进其内部流程。如果您对此感兴趣,Coward 对 Procolored UV 打印机的评测可在 Hackster.io 上找到。