Un’azienda cinese di stampanti ha diffuso, per errore, un malware che ruba bitcoin tramite i driver ufficiali, sottraendo oltre $950.000.
Secondo quanto riportato dal media locale Landian News, un produttore cinese di stampanti è stato scoperto a distribuire inconsapevolmente malware progettato per rubare bitcoin attraverso i suoi driver ufficiali.
La Procolored, azienda di stampanti con sede a Shenzhen, ha distribuito malware capace di rubare bitcoin insieme ai driver ufficiali dei suoi dispositivi. L’azienda avrebbe utilizzato dispositivi USB per diffondere driver infetti e caricato software compromesso su servizi di cloud storage accessibili a livello globale.
La società di sicurezza e conformità crypto Slow Mist ha spiegato il funzionamento del malware in un post su X:
“Il driver ufficiale fornito da questa stampante contiene un programma backdoor che intercetta l’indirizzo del wallet nella clipboard dell’utente e lo sostituisce con l’indirizzo dell’attaccante”.
Le conseguenze di tale violazione sono state significative, con un totale di 9,3 BTC rubati, equivalenti a oltre $950.000.
La problematica è stata inizialmente segnalata dallo YouTuber Cameron Coward, il cui software antivirus ha rilevato malware nei driver durante il test di una stampante UV Procolored. Il software ha identificato la presenza di un worm e un virus trojan denominato Foxif.
Quando contattata, Procolored ha negato le accuse, liquidando la segnalazione dell’antivirus come un falso positivo. Coward si è quindi rivolto a Reddit, condividendo il problema con professionisti della cybersecurity e attirando l’attenzione dell’azienda di sicurezza informatica G-Data.
L’indagine di G-Data ha rivelato che la maggior parte dei driver Procolored era ospitata sul servizio di file hosting MEGA, con caricamenti risalenti a ottobre 2023. L’analisi dei file ha confermato che erano stati compromessi da due distinti malware: il backdoor Win32.Backdoor.XRedRAT.A e un crypto stealer progettato per sostituire gli indirizzi nella clipboard con quelli controllati dall’attaccante.
G-Data ha contattato Procolored, che ha dichiarato di aver eliminato i driver infetti dal suo storage l’8 maggio e di aver eseguito nuovamente la scansione di tutti i file. L’azienda ha attribuito il malware a una compromissione della catena di approvvigionamento, affermando che i file malevoli sono stati introdotti attraverso dispositivi USB infetti prima di essere caricati online.
Landian News ha raccomandato agli utenti che hanno scaricato driver Procolored negli ultimi sei mesi di “eseguire immediatamente una scansione completa del sistema utilizzando un software antivirus.” Tuttavia, considerata la natura non sempre affidabile dei software antivirus, un reset completo del sistema è sempre l’opzione migliore in caso di dubbi, ha suggerito il media cinese.
