شرکت تولیدکننده چاپگر Procolored به مدت چند ماه درایورهایی آلوده به بدافزار عرضه کرده است.

کشف بدافزار در نرم‌افزار رسمی چاپگرهای Procolored

برای حداقل شش ماه، نرم‌افزار رسمی همراه با چاپگرهای Procolored حاوی بدافزاری از نوع تروجان دسترسی از راه دور (RAT) و سرقت‌کننده رمزارز بوده است.

شرکت Procolored که در زمینه ارائه راهکارهای چاپ دیجیتال فعالیت می‌کند، تولیدکننده چاپگرهای DTF، UV DTF، UV و DTG به‌شمار می‌رود و به‌ویژه به‌دلیل ارائه راهکارهای مقرون‌به‌صرفه و کارآمد در حوزه چاپ پارچه شهرت یافته است.

این شرکت که دفتر مرکزی آن در شنژن، چین قرار دارد، از زمان تأسیس در سال ۲۰۱۸ رشد سریعی را تجربه کرده و اکنون محصولات خود را در بیش از ۳۱ کشور عرضه می‌کند. Procolored حضور قابل‌توجهی در بازار ایالات متحده نیز دارد.

ماجرا زمانی آغاز شد که Cameron Coward، یوتیوبر شناخته‌شده با نام کاربری Serial Hobbyism، هنگام نصب نرم‌افزار و درایور چاپگر UV خریداری‌شده به ارزش ۷۰۰۰ دلار از این شرکت، هشدار امنیتی مربوط به حضور کرم USB Floxif را دریافت کرد. این هشدار نشان‌دهنده وجود بدافزار در نرم‌افزار همراه دستگاه بود.

براساس تحلیل‌های انجام‌شده توسط پژوهشگران شرکت امنیت سایبری G Data، بدافزار مذکور حداقل به مدت شش ماه از طریق بسته‌های رسمی نرم‌افزاری Procolored توزیع شده است.

کشف تروجان‌های دسترسی از راه دور و بدافزارهای سرقت رمزارز در نرم‌افزار Procolored

پس از دریافت هشدارهای امنیتی از سوی نرم‌افزار ضد بدافزار نصب‌شده روی رایانه‌اش، Cameron Coward با شرکت Procolored تماس گرفت. این شرکت هرگونه وجود بدافزار در نرم‌افزارهای خود را رد کرد و دلیل هشدارها را به «تشخیص اشتباه توسط نرم‌افزار امنیتی» نسبت داد.

Coward در این خصوص اظهار داشت:
«هر بار که تلاش می‌کنم فایل‌ها را از وب‌سایت آن‌ها دانلود کرده یا فایل‌های موجود روی فلش USB همراه دستگاه را باز کنم، رایانه‌ام بلافاصله آن‌ها را قرنطینه می‌کند.»

در پی سردرگمی ایجادشده و پیش از آن‌که ادعای مشخصی را در بررسی محصول V11 Pro منتشر کند، این یوتیوبر به جامعه کاربران Reddit مراجعه کرد تا از تحلیلگران بدافزار کمک بگیرد.

Karsten Hahn، پژوهشگر امنیت سایبری در شرکت G Data، با بررسی دقیق موضوع دریافت که حداقل شش مدل چاپگر شرکت Procolored شامل F8، F13، F13 Pro، V6، V11 Pro و VF13 Pro به همراه نرم‌افزارهایی که روی پلتفرم Mega میزبانی می‌شوند، حاوی بدافزار هستند.

بر اساس این گزارش، شرکت Procolored برای میزبانی فایل‌های نرم‌افزاری مورد نیاز چاپگرهای خود از سرویس اشتراک‌گذاری فایل Mega استفاده می‌کند و لینک مستقیم به این منابع از طریق بخش پشتیبانی وب‌سایت رسمی این شرکت در دسترس کاربران قرار گرفته است.

شناسایی بدافزارهای پیشرفته در بسته‌های نرم‌افزاری Procolored

تحلیل‌گر امنیتی Karsten Hahn در بررسی خود موفق به شناسایی ۳۹ فایل آلوده در میان منابع نرم‌افزاری چاپگرهای Procolored شد. این فایل‌ها حاوی بدافزارهای زیر بودند:

• XRedRAT: بدافزاری شناخته‌شده که پیش‌تر توسط شرکت امنیتی eSentire تحلیل شده است. این بدافزار قابلیت‌هایی نظیر ثبت کلیدهای فشرده‌شده (Keylogging)، گرفتن اسکرین‌شات، دسترسی به شِل از راه دور و دستکاری فایل‌ها را دارد. آدرس‌های کنترل و فرمان (C2) هاردکد شده در این نسخه با نمونه‌های قبلی مطابقت داشته‌اند.
• SnipVex: بدافزاری ناشناخته و جدید از نوع Clipper که با آلوده‌سازی فایل‌های اجرایی (.EXE)، به آن‌ها متصل می‌شود و هنگام کپی کردن آدرس کیف‌پول بیت‌کوین در کلیپ‌بورد، آن را با آدرس مهاجم جایگزین می‌کند. این بدافزار در چندین فایل دانلودی شناسایی شده و به‌احتمال زیاد، سیستم‌های توسعه‌دهندگان یا ماشین‌های ساخت (Build Systems) شرکت Procolored را آلوده کرده است.

بر اساس تاریخ آخرین به‌روزرسانی فایل‌های آلوده که به اکتبر ۲۰۲۴ بازمی‌گردد، می‌توان نتیجه گرفت که این بدافزارها حداقل به مدت شش ماه از طریق نرم‌افزارهای رسمی Procolored در حال توزیع بوده‌اند.

واکنش Procolored به کشف بدافزار و آغاز تحقیقات داخلی

Karsten Hahn، پژوهشگر امنیتی شرکت G Data، اعلام کرد آدرس کیف‌پول بیت‌کوینی که بدافزار SnipVex برای انتقال رمزارزهای سرقت‌شده از آن استفاده می‌کند، تاکنون حدود ۹.۳۰۸ بیت‌کوین دریافت کرده است که معادل تقریبی ۱ میلیون دلار با نرخ فعلی بازار است.

با وجود انکار اولیه شرکت Procolored درخصوص وجود بدافزار در نرم‌افزارهایش، بسته‌های نرم‌افزاری مشکوک در ۸ مه ۲۰۲۵ از وب‌سایت این شرکت حذف شدند و یک تحقیق داخلی نیز آغاز شد.

در پاسخ به پرسش شرکت G Data، Procolored تأیید کرد که فایل‌های مذکور از طریق فلش USB آلوده به بدافزار Floxif در پلتفرم Mega.nz بارگذاری شده‌اند.

Procolored در بیانیه‌ای به G Data اعلام کرد:
«به‌عنوان یک اقدام احتیاطی، کلیه نرم‌افزارها به‌طور موقت از وب‌سایت رسمی حذف شده‌اند. در حال انجام اسکن امنیتی جامع بر روی تمام فایل‌ها هستیم و تنها پس از عبور از بررسی‌های سخت‌گیرانه ضدویروس و امنیتی، نسخه‌های پاک‌سازی‌شده مجدداً در دسترس قرار خواهند گرفت.»

شرکت G Data نسخه‌های پاک‌سازی‌شده نرم‌افزار را دریافت و تأیید کرده است که این بسته‌ها اکنون ایمن و قابل استفاده هستند.

در همین راستا، به کاربران Procolored توصیه می‌شود که:

• نسخه‌های قدیمی نرم‌افزار را با نسخه‌های جدید جایگزین کنند.
• اسکن کامل سیستم برای حذف بدافزارهای XRedRAT و SnipVex انجام دهند.

با توجه به اینکه SnipVex اقدام به تغییر باینری فایل‌ها می‌کند، انجام پاک‌سازی عمیق سیستم برای اطمینان از حذف کامل آلودگی‌ها توصیه می‌شود.