<div id="post_message_792436">

Официальное ПО, которое поставлялось с принтерами Procolored, содержало троян удаленного доступа и малварь для кражи криптовалюты. Производитель распространял зараженный софт не менее полугода.<br/>
<br/>
Китайская компания Procolored — поставщик решений для цифровой печати, выпускающий принтеры типа Direct-to-Film (DTF), UV DTF, UV и Direct-to-Garment (DTG). В частности, компания широко известна благодаря недорогим продуктам, предназначенным для печати на ткани.<br/>
<br/>
Первым малварь в ПО Procolored <a href="https://www.youtube.com/channel/UCicLtkURhSq2fNDCzpb8NVw" target="_blank">обнаружил </a>ютубер Кэмерон Ковард (Cameron Coward), известный под ником Serial Hobbyism. Его антивирус предупредил о наличии USB-червя Floxif при установке сопутствующего софта и драйверов для принтера Procolored V11 Pro.<br/>
<br/>
По словам Коварда, он пытался связаться с компанией Procolored, однако производитель отрицал наличие вредоносного ПО в своем ПО, заявляя, что антивирусы могут генерировать ложные срабатывания.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Если я пытаюсь загрузить файлы с их сайта или распаковать файлы с USB-накопителя, [который поставлялся в комплекте], мой компьютер немедленно помещает их в карантин», — рассказывал Ковард в своем видео.</font>
</td>
</tr>
</table>
</div>Согласно <a href="https://www.gdatasoftware.com/blog/2025/05/38200-printer-infected-software-downloads" target="_blank">анализу</a>, проведенному исследователями из компании G Data, официальные пакеты ПО Procolored действительно распространяли малварь, и это длилось не менее шести месяцев.<br/>
<br/>
Исследователи G Data обнаружили, что софт еще как минимум для шести моделей принтеров (F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro), размещенный в файлообменнике Mega, содержит вредоносное ПО. Отмечается, что компания Procolored использует Mega для размещения своего программного обеспечения, и раздел поддержки на официальном сайте содержит прямые ссылки на файлообменник.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512547/mega.jpg"/><br/>
<br/>
В общей сложности аналитики нашли 39 файлов, которые были заражены следующими вредоносами.<ul><li><b>XRedRAT</b> — малварь, ранее изученная экспертами eSentire. Может использоваться для перехвата нажатий клавиш, создания снимков экрана, удаленного шелл-доступа и манипулирования файлами. Жестко закодированные адреса управляющих серверов соответствуют старым образцам.</li>
</ul><ul><li><b>SnipVex</b> — ранее неизвестный клиппер, который заражает файлы .EXE, прикрепляется к ним и подменяет BTC-адреса в буфере обмена. Обнаружен в нескольких загруженных файлах. Предположительно, этим вредоносом заражены системы разработчиков Procolored или машины для сборки.</li>
</ul>Поскольку файлы последний раз обновлялись в октябре 2024 года, можно предположить, что малварь поставляется вместе с официальным софтом Procolored не менее полугода.<br/>
<br/>
Отмечается, что на адрес, который SnipVex использует для получения краденой криптовалюты, поступило уже 9,308 BTC, то есть почти 1 млн долларов по текущему курсу.<br/>
<br/>
Хотя после исходного предупреждения ютубера представители Procolored все отрицали, 8 мая 2025 года компания удалила зараженные программные пакеты и начала внутреннее расследование.<br/>
<br/>
Когда специалисты G Data обратились к производителю за объяснениями, в Procolored призналась, что могли загрузить файлы на Mega.nz с помощью USB-накопителя, который был заражен малварью Floxif.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В качестве меры предосторожности с официального сайта Procolored было временно удалено все программное обеспечение, — сообщили в Procolored. — Мы проводим всестороннюю проверку каждого файла на наличие вредоносного ПО. Только после прохождения строгих проверок программное обеспечение будет опубликовано снова».</font>
</td>
</tr>
</table>
</div>Эксперты G Data уже изучили «чистые» программные пакеты Procolored и подтвердили, что они безопасны для использования.<br/>
<br/>
Всем пользователям Procolored рекомендуется как можно скорее заменить старое ПО на новые версии и выполнить сканирование своих систем для удаления XRedRAT и SnipVex.<br/>
<br/>
<a href="https://xakep.ru/2025/05/19/procolored-malware/" target="_blank">@ xakep.ru</a>
</div>