Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Заказал принтер — получил RAT и вирус, который крадёт крипту без всякого шума (http://txgate.io:443/showthread.php?t=51297305)

WWW 05-26-2025 12:07 PM
<div id="post_message_792327">

За как минимум полгода официальное ПО для принтеров Procolored распространяло вредоносное ПО — троян удалённого доступа и криптовалютный клипер. Установка драйверов с официальных источников могла привести к полному взлому системы пользователя и утечке средств с криптокошельков.<br/>
<br/>
Компания Procolored, специализирующаяся на решениях для прямой печати по ткани (DTF, UV DTF, DTG и UV-принтерах), была основана в 2018 году и за короткое время вышла на международный рынок, поставляя свою продукцию более чем в 31 страну. Принтеры бренда пользуются популярностью благодаря доступной цене и качеству печати, особенно среди владельцев мастерских и малого бизнеса. Однако начиная с октября 2024 года, пользователи могли невольно становиться жертвами заражения, устанавливая программное обеспечение прямо с сайта производителя или с флешки, прилагаемой к устройству.<br/>
<br/>
Проблему впервые заметил YouTube-блогер Cameron Coward. При установке драйверов для своего нового принтера Procolored стоимостью $7000 он получил срабатывание <a href="http://ptsecurity.com/ru-ru/products/edr/" target="_blank">антивируса </a>на Floxif — известного USB-червя. По его словам, даже при попытке распаковать файлы вручную с флешки или повторно скачать их с сайта, система моментально помещала их в карантин. После обращения в поддержку Procolored ему сообщили, что речь идёт о ложных срабатываниях.<br/>
<br/>
Не удовлетворившись ответом, Coward <a href="https://www.reddit.com/r/computerviruses/comments/1kbkmgq/viruses_included_in_product_im_reviewing/" target="_blank">обратился за помощью</a> к пользователям Reddit, где ему откликнулся аналитик кибербезопасности из компании G Data. Проведённый <a href="https://www.gdatasoftware.com/blog/2025/05/38200-printer-infected-software-downloads" target="_blank">анализ </a>показал, что заражёнными оказались не только отдельные экземпляры, а сразу несколько моделей устройств: F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro. ПО для этих принтеров распространялось через платформу Mega.nz — ссылки на файлы размещались на странице поддержки официального сайта Procolored.<br/>
<br/>
В общей сложности было выявлено 39 заражённых файлов. Внутри них специалисты обнаружили два вида вредоносного кода. Первый — XRedRAT, троян удалённого доступа, ранее изученный eSentire. Он способен выполнять кейлоггинг, снимать скриншоты экрана, управлять файлами и получать удалённый доступ к системе. Его конфигурационные параметры содержали те же C2-адреса, что и в известных сэмплах.<br/>
<br/>
Второй вирус оказался новым и ранее не описанным — клипер под названием SnipVex. Этот вирус внедряется в исполняемые .EXE-файлы, после чего скрытно подменяет адреса Bitcoin-кошельков в буфере обмена. Всё, что пользователь копирует для перевода — например, свой адрес BTC — незаметно заменяется на кошелёк злоумышленника. По подсчётам G Data, адрес, на который SnipVex перенаправлял средства, уже получил 9308 BTC — почти миллион долларов по текущему курсу. По всей видимости, клипер попал в сборку не специально, а из-за заражения компьютеров разработчиков или автоматизированной сборочной инфраструктуры компании.<br/>
<br/>
Файлы с вредоносным содержимым были удалены с сайта Procolored 8 мая 2025 года, после запроса от G Data. Изначально производитель отрицал наличие вредоносного кода, однако позднее признал, что загрузка могла производиться с USB-носителя, заражённого Floxif. Компания начала внутреннее расследование и пообещала провести полную проверку всех программных пакетов. В официальном заявлении для G Data Procolored сообщила, что временно сняла все загрузки с сайта и повторно разместит только те файлы, которые пройдут расширенное антивирусное тестирование.<br/>
<br/>
После проверки G Data подтвердила, что обновлённые версии программного обеспечения больше не содержат вредоносных компонентов. Клиентам Procolored рекомендуется немедленно удалить старые версии драйверов и заменить их на проверенные. Также следует выполнить полную проверку системы с использованием современных антивирусов. В случае заражения SnipVex потребуется более глубокая очистка, поскольку вирус встраивается в другие файлы и может незаметно оставаться активным даже после стандартного удаления.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559453.php" target="_blank">@ SecurityLab </a>
</div>


All times are GMT. The time now is 04:03 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.