Кибератака через USB: анализ вредоносного ПО в ПО Procolored

Инцидент с вредоносным ПО в программном обеспечении для УФ-принтера Procolored: подробности и последствия

Пользователь YouTube Кэмерон Кауард столкнулся с серьезными проблемами при использовании USB-накопителя, предназначенного для настройки УФ-принтера стоимостью 6000 долларов. Причиной сбоя стало обнаружение вредоносного ПО, двигающегося по USB-диску и вызывающего критические повреждения системных файлов. Этот случай привлек внимание к рискам заражения через распространяемое программное обеспечение и подтвердил важность строгого контроля кибербезопасности.

Обнаруженные вредоносные компоненты

Антивирусное программное обеспечение выявило наличие нескольких разновидностей вредоносных файлов, среди которых выделяются:

• Floxif — файловый заражатель, способный подключаться к переносимым исполняемым файлам (PE). Данный червь распространяется через общие сетевые ресурсы и съемные диски, приводя к повреждению системных файлов и необратимой потере данных;
• MSIL.Троян-похититель.CoinStealer.H — троян для кражи учетных данных, разработанный на основе технологий .NET;
• Win32.Backdoor.XRedRAT.A — бэкдор на основе Delphi, существующий минимум с 2019 года. Этот компонент соответствует вредоносному ПО, описанному в отчете eSentire и связывается с компрометацией систем, участвовавших в упаковке ПО для принтера Procolored;
• clipbanker SnipVex — сетевая программа, перенаправляющая адреса Bitcoin в буфере обмена на адреса злоумышленника. Она работает под уникальным маркером заражения, чтобы избежать повторного внедрения, а распространяется через зараженные исполняемые файлы.

Причины заражения и распространения вредоносного ПО

Анализ инцидента показал, что заражение могло произойти во время первоначальной установки или распространения программного обеспечения с помощью USB-накопителей, что является классическим вектором атак для подобных вредоносных программ. Отмечено, что некоторые антивирусные решения могли пропустить предупреждения из-за нестандартных настроек или отсутствия английской локализации ПО, что усложняет своевременное выявление угроз.

Реакция компании Procolored

После выявления инцидента компания Procolored оперативно отреагировала:

• Временно удалила зараженное программное обеспечение со своего официального веб-сайта;
• Начала проведение всестороннего анализа всех доступных для загрузки версий ПО на предмет вредоносных программ;
• Подчеркнула необходимость улучшения систем защиты и рекомендаций для пользователей по настройке антивирусов;
• Обеспечила отключение сервера управления бекдором SnipVex с февраля 2024 года;
• Заявила о намерении тщательно проверять программное обеспечение перед повторным размещением.

Подход Procolored демонстрирует проактивную позицию в вопросах кибербезопасности, направленную на повышение доверия клиентов и снижение рисков повторного заражения.

Важность постоянного мониторинга и обновления систем безопасности

Данный инцидент служит наглядным примером остроты проблем безопасности при распространении ПО через внешние носители и сетевые ресурсы. Несмотря на отключение управляющего сервера SnipVex, угрозы сохраняются из-за простоты структуры вируса и возможности суперинфекции, что осложняет восстановление зараженных систем.

Эксперты настоятельно рекомендуют:

• Регулярно обновлять антивирусное программное обеспечение;
• Внимательно мониторить источники программного обеспечения и проверять его целостность;
• Проверять и корректировать настройки безопасности, учитывая языковые особенности локализации ПО;
• Использовать современные методы обнаружения и удаления вредоносного ПО.

Таким образом, инцидент с Procolored служит напоминанием о критической важности комплексной и постоянной защиты информационных систем на всех этапах использования и распространения программного обеспечения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.