Se possui uma impressora a jato de tinta da Procolored, especialmente um dos modelos UV, é aconselhável verificar o seu sistema quanto à presença de malware. Esta recomendação surge após ter sido descoberto que a empresa distribuiu software malicioso, sobretudo para quem descarregou o software de acompanhamento nos últimos seis meses antes do alerta.
Do YouTube para o alerta de segurança: a descoberta inicial
O primeiro sinal de alarme foi dado por Cameron Coward, criador do canal de YouTube "Serial Hobbyism", conhecido pelas suas análises de tecnologia e projetos de eletrónica DIY. Coward estava a analisar uma impressora UV da Procolored, com um custo de cerca de 6.000 dólares (aproximadamente 5.520 euros à taxa de câmbio atual), e ao tentar instalar o software fornecido numa unidade USB, o seu antivírus detetou malware. As ameaças identificadas foram um worm que se propaga por USB e um infetor de ficheiros do tipo Floxif. Quando Coward reportou o problema à Procolored, a empresa desvalorizou inicialmente a questão, classificando-a como um caso de falsos positivos.
Não convencido pelas garantias da Procolored, Coward recorreu ao Reddit em busca de opiniões de especialistas. A sua publicação chamou a atenção da empresa de cibersegurança G Data, que decidiu investigar o caso mais a fundo. Um dos seus analistas examinou os downloads de software da Procolored disponíveis publicamente, alojados na plataforma mega.nz, e que na sua maioria tinham sido atualizados pela última vez por volta de outubro de 2023.
Investigação da G Data revela malware nos downloads oficiais da Procolored
A investigação confirmou a presença de malware não só na unidade USB de Coward, mas também nos downloads oficiais para vários modelos de impressoras. A G Data identificou duas ameaças principais: o Win32.Backdoor.XRedRAT.A, um backdoor desenvolvido em Delphi, e o MSIL.Trojan-Stealer.CoinStealer.H, um ladrão de criptomoedas escrito em .NET. Embora o Floxif não tenha sido encontrado nos downloads do site analisados pela G Data, a sua presença na unidade USB de Coward sugere a possibilidade de um ambiente mais comprometido numa fase anterior.
XRedRAT e SnipVex: os trojans que ameaçavam os utilizadores
Segundo a G Data, que citou uma análise anterior da eSentire, o backdoor XRedRAT é uma variante de malware mais antiga, e os URLs do seu servidor de comando e controlo (C&C) já estariam offline quando a eSentire os documentou em fevereiro de 2024. Esta instância específica também parecia estar inativa desde, pelo menos, essa data.
O ladrão de criptomoedas, apelidado de "SnipVex" pela G Data, representa uma ameaça particularmente preocupante. Funciona como um "clipbanker", substituindo os endereços de criptomoedas copiados para a área de transferência por um controlado pelo atacante. Além disso, atua como um infetor de ficheiros, anexando-se a ficheiros executáveis.
A investigação da G Data demonstrou que o endereço de Bitcoin associado ao SnipVex tinha recebido cerca de 9,3 BTC, o equivalente a aproximadamente 100.000 dólares (cerca de 92.000 euros), antes da atividade cessar a 3 de março de 2024. A infeção generalizada encontrada nos ficheiros descarregáveis da Procolored torna plausível que o malware se tenha propagado através da estação de trabalho de um programador ou dos servidores de compilação da empresa.
Resposta da Procolored: software removido e substituído
Após a G Data apresentar as suas conclusões detalhadas, a Procolored ofereceu uma resposta mais substancial do que a negação inicial a Coward. A empresa afirmou: "O software alojado no nosso site foi inicialmente transferido através de unidades USB. É possível que um vírus tenha sido introduzido durante este processo. Adicionalmente, como o software PrintEXP está em chinês por defeito, alguns sistemas operativos internacionais podem incorretamente sinalizá-lo ou interpretá-lo como malicioso, especialmente se o sistema não lidar bem com programas que não estão em inglês."
A Procolored mencionou também que removeu temporariamente todo o software do seu site por volta de 8 de maio de 2024 para uma verificação completa, e que novos pacotes de software limpos estavam a ser disponibilizados, uma alegação que a G Data confirmou ao verificar os novos ficheiros.
Foi afetado? O que fazer segundo os especialistas
Para os clientes que possam ter sido afetados, a G Data recomenda verificar quaisquer exclusões de antivírus feitas para o software da impressora, uma vez que o software oficial do fabricante é frequentemente considerado seguro por defeito. Dado que infetores de ficheiros como o Floxif e o SnipVex podem causar danos extensos aos ficheiros do sistema, a empresa de cibersegurança aconselha que a ação mais segura é, muitas vezes, uma formatação completa de todas as unidades de disco e uma nova instalação do sistema operativo.
Embora o backdoor XRedRAT estivesse provavelmente ineficaz devido ao seu servidor de C&C offline, o SnipVex continuava a ser uma preocupação séria graças à sua capacidade de infetar ficheiros, mesmo tendo parado de desviar Bitcoins. A G Data não encontrou evidências de que a Procolored tenha distribuído intencionalmente o malware, e a empresa comprometeu-se desde então a melhorar os seus processos internos. Para os curiosos, a análise de Coward à impressora UV da Procolored está disponível em Hackster.io.
Nenhum comentário
Seja o primeiro!