Tokom pola godine, veb sajt proizvođača štampača Procolored nudio je softverske fajlove koji su sadržali malver, izvještava bezbjednosna kompanija GData.
Nakon što je tehnički novinar prijavio da je USB uređaj koji sadrži softver za štampač inficiran malverom, GData je analizirala sve fajlove dostupne za preuzimanje na sajtu kompanije i otkrila da su i oni takođe inficirani.
Tehnički novinar, Cameron Coward, obavijestio je firmu o ovom problemu, ali mu je rečeno da se vjerovatno radi o lažno pozitivnom nalazu i da je sa fleš memorijom sve u redu.
GData je, međutim, otkrila da je 39 fajlova za preuzimanje – hostovanih na mega.nz i posljednji put ažuriranih u oktobru 2024. – inficirano sa dva tipa malvera: kradljivcem informacija i „backdoor“-om.
„Backdoor“, nazvan XRed, napisan je u programskom jeziku Delphi i ponaša se poput crva. Uzorak pronađen u Procolored softveru može da bilježi kucanje na tastaturi, preuzima dodatni maliciozni sadržaj, pravi snimke ekrana, manipuliše fajlovima i pruža pristup komandnoj liniji na zahtjev.
Kradljivac informacija, nazvan CoinStealer, cilja kripto novčanike, ali može i da zamijeni adrese kripto novčanika u clipboard-u napadačevom adresom, kako bi sredstva bila preusmjerena tokom transakcije.
GData je takođe otkrila da se radi o virusu koji cilja izvršne fajlove, dodajući svoj kod na njihov početak, a zatim premešta inficirane fajlove nazad na njihovu originalnu lokaciju.
Prema navodima bezbjednosne firme, XRed sadrži virus nazvan SnipVex, što dovodi do „superinfekcije“, jer ciljani sistem istovremeno sadrži više malicioznih softverskih porodica koje se same repliciraju.
„Infekcija virusom objašnjava i zašto je ukupno 39 fajlova u sekciji za preuzimanje na sajtu Procolored bilo inficirano. SnipVex se vjerovatno replicirao na developerskom računaru ili serverima za izgradnju softvera“, objašnjava GData.
Pogled na kripto adresu koju je CoinStealer umetao umjesto korisničke pokazuje da je na nju prebačeno više od 9 Bitcoina (vrijednih preko 900.000 dolara).
Iako je u početku negirala mogućnost infekcije malverom, kompanija Procolored uklonila je fajlove sa sajta, navodeći da su u fazi istrage i da će ih ponovo postaviti ako se pokažu kao čisti.
Kompanija je GData-i saopštila da je softver koji je bio hostovan na sajtu originalno prebačen putem fleš diska, te da je virus možda ubačen tokom tog procesa.
Izvor: SecurityWeek