Драйверы-ловушки: принтеры Procolored заражали ПК майнеров вредоносной программой ворующей биткоины
Китайский производитель UV- и DTF-принтеров Procolored был уличён в распространении официальных драйверов, заражённых сложным вредоносным ПО. Выяснилось, что в установочный пакет с декабря 2024 года были встроены сразу два модуля: бэкдор Win32.Backdoor.XRedRAT.A, обеспечивавший удалённый доступ к системе, и криптостилер, перехватывавший буфер обмена и подменявший адреса кошельков на реквизиты злоумышленников.
Первые тревожные сигналы появились на YouTube-канале инженера-ентузиаста Кэмерона Коварда, чью антивирусную систему сработала при подключении фирменной флешки. После публикации ролика расследование провела лаборатория G Data: эксперты выяснили, что вредоносные драйверы размещались на облачном хостинге Mega и скачивались через официальный сайт Procolored как минимум полгода. Суммарные потери пользователей уже достигли 9,3 BTC — почти 1 млн долларов.
Производитель сначала списал тревогу на «ложные срабатывания», однако вскоре признал, что один из сотрудников компании случайно заразил рабочие USB-носители во время обновления ПО на заводском ПК. Чтобы искоренить угрозу, Procolored выпустила «чистую» версию драйверов и обещала проверить цепочку поставок. Тем не менее киберэксперты предупреждают: стирающийся стилер модифицирует системные библиотеки, а значит простой переустановки драйвера недостаточно — требуется полная переустановка ОС или переход на безопасный резервный образ.
Инцидент уже обрастает юридическими шипами: в Шэньчжэне готовится коллективный иск, а американская фирма ClassAction Ltd собирает жалобы европейских пользователей. Согласно опросу Reddit, примерно 40 % пострадавших использовали принтеры для печати NFC-меток и QR-кодовых меток на физических биткоин-кошельках, что сделало их особенно уязвимыми.
Специалисты по кибербезопасности считают произошедшее самым крупным supply-chain-взломом в сегменте настольной печати. «Новые эпизоды показывают, что атака через драйверы — идеальный канал: пользователи сами предоставляют ПО права администратора», — резюмирует глава G Data. Вывод прост: даже проверяя «официальные» файлы, храните крупные суммы в холодных кошельках и следите за целостностью системных файлов.