Relatório: Fabricantes de impressoras chinesas disseminam malware de roubo de Bitcoin (BTC)

Fonte: Cointelegraph Texto original: “Relatório: Fabricantes de impressoras chinesas espalham malware para roubar Bitcoin (BTC)”

De acordo com a mídia local, o fabricante de impressoras chinês Color Strong Print distribuiu malware de roubo de Bitcoin juntamente com seus drivers oficiais.

A mídia chinesa Blue Dot informou em 19 de maio que a empresa de impressoras de Shenzhen, Color Strong Print, tem distribuído malware de roubo de Bitcoin (BTC) por meio de drivers oficiais. De acordo com relatos, a empresa utiliza drivers USB para distribuir drivers infectados com malware e faz o upload desse software comprometido para plataformas de armazenamento em nuvem, disponíveis para download por usuários em todo o mundo.

De acordo com o relatório, um total de 9,3 bitcoins, no valor de mais de 953.000 dólares, foram roubados. A instituição de rastreamento de ativos criptográficos e conformidade Slow Mist descreveu em um post na plataforma X, em 19 de maio, o funcionamento do malware:

“O driver oficial fornecido por esta impressora contém um programa de backdoor. Ele sequestra o endereço da carteira no clipboard do usuário e o substitui pelo endereço do atacante.”

A Landian News sugere que os utilizadores que tenham descarregado o driver da impressora Procolored nos últimos seis meses “realizem imediatamente uma verificação completa do sistema com software antivírus”. No entanto, considerando que a eficácia da detecção de software antivírus varia, quando há dúvidas, a reinicialização completa do sistema é sempre uma escolha mais fiável:

“Idealmente, você deveria reinstalar o sistema operativo e verificar completamente os arquivos originais.”

De acordo com relatos, esta vulnerabilidade de segurança foi inicialmente exposta pelo YouTuber Cameron Coward, que, ao testar a impressora UV Procolored, teve o software antivírus a detectar código malicioso no driver. O sistema assinalou que o driver continha um vírus worm e um cavalo de Tróia denominado Foxif.

Perante os questionamentos, a Procolored negou essas acusações e classificou os alertas da ferramenta antivírus como falsos positivos. Coward então se virou para a plataforma Reddit, compartilhando o problema com profissionais de cibersegurança, o que chamou a atenção da empresa de cibersegurança G-Data.

Uma investigação aprofundada da G-Data descobriu que a maioria dos drivers da Procolored está hospedada no serviço de compartilhamento de arquivos MEGA, com um tempo de upload que remonta a outubro de 2023. A análise desses arquivos confirmou que eles estão infectados por dois tipos diferentes de malware: o backdoor Win32.Backdoor.XRedRAT.A e uma ferramenta de roubo de criptomoedas, que foi projetada especificamente para substituir os endereços na área de transferência do usuário por endereços controlados pelo atacante.

A G-Data já contatou a Procolored, um fabricante de hardware que afirmou ter removido os drivers infectados de seu armazenamento em 8 de maio e reexaminado todos os arquivos. A Procolored atribui o incidente a uma invasão da cadeia de suprimentos, alegando que os arquivos maliciosos foram introduzidos no sistema através de dispositivos USB infectados e, em seguida, foram carregados na rede.

Relacionados: A empresa Strategy investiu 765 milhões de dólares na compra de 7.390 bitcoins (BTC) e logo em seguida enfrentou uma ação coletiva.