Cảnh báo: Mã độc đánh cắp Bitcoin ẩn trong driver máy in!
Nhà sản xuất máy in Trung Quốc Procolored bị cáo buộc phát tán mã độc đánh cắp Bitcoin thông qua trình điều khiển (driver) chính thức của họ. Một cuộc tấn công chuỗi cung ứng đã dẫn đến việc hơn 950.000 đô la bị đánh cắp.
Theo báo cáo từ truyền thông địa phương, Procolored đã phân phối phần mềm độc hại đánh cắp Bitcoin cùng với các trình điều khiển chính thức của mình.
Cụ thể, Landian News đưa tin rằng Procolored đã phát tán mã độc đánh cắp Bitcoin (BTC) thông qua trình điều khiển USB và tải phần mềm bị xâm nhập lên lưu trữ đám mây để tải xuống trên toàn cầu.
Theo báo cáo, cho đến nay, 9,3 BTC trị giá hơn 953.000 đô la đã bị đánh cắp. Công ty theo dõi và tuân thủ tiền điện tử Slow Mist giải thích cách thức hoạt động của phần mềm độc hại:
Trình điều khiển chính thức do máy in này cung cấp có một chương trình backdoor. Nó sẽ chiếm đoạt địa chỉ ví trong clipboard của người dùng và thay thế nó bằng địa chỉ của kẻ tấn công.
Nguồn: MistTrack
Landian News khuyến nghị người dùng đã tải xuống trình điều khiển máy in Procolored trong sáu tháng qua nên thực hiện quét toàn bộ hệ thống ngay lập tức bằng phần mềm chống vi-rút. Tốt nhất, bạn nên cài đặt lại hệ điều hành của mình và kiểm tra kỹ các tệp cũ.
Vấn đề này được báo cáo lần đầu tiên bởi YouTuber Cameron Coward, người có phần mềm chống vi-rút đã phát hiện phần mềm độc hại trong trình điều khiển khi thử nghiệm máy in UV Procolored. Phần mềm chống vi-rút gắn cờ ổ đĩa này có chứa một worm và một trojan virus có tên là Foxif.
Khi được liên hệ, Procolored đã phủ nhận các cáo buộc và bác bỏ việc phần mềm chống vi-rút gắn cờ trình điều khiển là dương tính giả. Coward đã chia sẻ vấn đề này với các chuyên gia an ninh mạng trên Reddit, thu hút sự chú ý của công ty an ninh mạng G-Data.
Cuộc điều tra của G-Data phát hiện ra rằng hầu hết các trình điều khiển của Procolored đều được lưu trữ trên dịch vụ lưu trữ tệp MEGA, với các bản tải lên có từ tháng 10 năm 2023. Phân tích các tệp này xác nhận rằng chúng đã bị xâm phạm bởi hai phần mềm độc hại riêng biệt: backdoor Win32.Backdoor.XRedRAT.A và một trình đánh cắp tiền điện tử được thiết kế để thay thế địa chỉ trong clipboard bằng những địa chỉ do kẻ tấn công kiểm soát.
G-Data đã liên hệ với Procolored, nhà sản xuất phần cứng này cho biết họ đã xóa các trình điều khiển bị nhiễm khỏi bộ nhớ của mình vào ngày 8 tháng 5 và quét lại tất cả các tệp. Procolored cho rằng phần mềm độc hại này là do sự thỏa hiệp của chuỗi cung ứng, nói rằng các tệp độc hại đã được đưa vào thông qua các thiết bị USB bị nhiễm trước khi được tải lên trực tuyến.
