在至少长达六个月的时间里，Procolored打印机附带的官方软件中被发现包含恶意软件，包括远程访问木马（RAT）和加密货币窃取程序。

Procolored是一家提供数字打印解决方案的厂商，产品涵盖直喷膜（DTF）、紫外DTF、紫外打印机以及直喷服装（DTG）打印机。该公司因提供经济高效的织物打印方案而受到广泛认可。

公司总部位于中国深圳，自2018年成立以来发展迅速，产品已销往31个以上的国家，并在美国设有主要运营据点。

油管视频主播Cameron Coward（频道名为Serial Hobbyism）在为一台价值7000美元的Procolored紫外打印机安装驱动和配套软件时，遭遇安全软件告警，提示其系统中检测到Floxif USB蠕虫，由此发现了该恶意程序。

据德国网络安全公司G Data的研究人员分析，Procolored的官方安装包在至少六个月内持续传播恶意软件。

发现远程木马与加密货币窃取程序

在设备发出安全告警后，Coward联系了Procolored。对方否认其软件中包含恶意程序，称这是安全软件的误报。

Coward表示：“每当我尝试从他们官网下载安装文件，或者解压他们提供的U盘内容，我的电脑都会立即隔离这些文件。”

对此感到疑惑的Coward在Reddit上发帖求助，希望在撰写ProcoloredV11Pro的评测时能够更有依据地提出相关指控。

G Data的研究员Karsten Hahn表示愿意协助调查，结果发现至少有6款打印机型号（F8、F13、F13Pro、V6、V11Pro和VF13Pro）的配套软件中包含恶意程序，这些软件被托管在Mega文件分享平台上。

Procolored使用Mega服务来托管其打印机的软件资源，并在官网支持页面提供了直达下载链接。

图：托管于Mega.nz的文件

分析人员共发现了39个被感染的文件，包含以下恶意程序：

• XRedRAT：这是已被eSentire分析过的知名恶意软件，具备键盘记录、截屏、远程Shell操作以及文件管理等功能。其硬编码的C2控制服务器地址与旧版本一致。
• SnipVex：一种此前从未公开的剪贴板劫持恶意程序，会感染.EXE文件并附着其中，替换用户剪贴板中的比特币地址。该程序在多个下载包中被检测到，极可能是Procolored的开发系统或构建环境被感染所致。

考虑到这些文件的最后更新时间为2024年10月，可以推测Procolored的软件至少在半年时间内携带了这些恶意程序。

图：SnipVex感染流程

加密货币木马已窃取价值近百万美元的比特币

Hahn指出，目前SnipVex用于接收被盗加密货币的钱包地址已经收到约9.308枚比特币，按当前汇率计算，价值接近100万美元。

尽管Procolored起初否认问题的存在，这些软件包仍于5月8日被下架，公司随后启动了内部调查。

当G Data就此事件向Procolored询问时，Procolored承认其用于上传文件的U盘可能已经感染了Floxif蠕虫。

Procolored向G Data表示：“出于安全考虑，我们已暂时下架官网上的所有软件。”

“我们正在对每一个文件进行全面的恶意软件扫描，只有通过严格的病毒与安全检测后，相关软件才会重新上线。”

G Data随后收到了经过清理的软件包，并确认这些版本已可安全使用。

建议使用Procolored打印机的用户替换旧版软件，并进行系统扫描，以清除XRedRAT和SnipVex。

由于SnipVex会对二进制文件进行修改，建议用户对系统进行深度清理，确保所有文件无害。

外媒Bleeping Computer已就此次事件及Procolored是否已向用户通报风险等问题联系该公司，但目前尚未收到回应。

参考资料：https://www.bleepingcomputer.com/news/security/printer-maker-procolored-offered-malware-laced-drivers-for-months/

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。