Negli ultimi mesi, numerosi utenti hanno inavvertitamente infettato i propri sistemi scaricando software malevolo direttamente dal sito ufficiale del produttore di stampanti Procolored.
La scoperta allarmante è stata resa pubblica da G DATA, azienda tedesca specializzata in sicurezza informatica, dopo la segnalazione del canale YouTube Serial Hobbyism.
Indice degli argomenti
Com’è iniziato tutto
Il caso è esploso quando Cameron Coward, creatore del canale Serial Hobbyism, ha acquistato una stampante UV Procolored del valore di 6.000 dollari. Dopo aver collegato una chiavetta USB fornita con il dispositivo, il suo antivirus ha segnalato la presenza di un worm USB e di una possibile infezione da Floxif (Nota), un malware tristemente noto per essere stato impiegato nella compromissione di CCleaner nel 2017.
“Me ne sono accorto per la prima volta quando ho iniziato a installare il software sulla chiavetta USB Procolored fornita con la stampante. Uno di questi era il file Microsoft Visual C++ Redistributable in un file zip. Ma non appena l’ho decompresso, Windows Defender ha messo in quarantena i file e mi ha informato di aver trovato un virus Floxif”, spiega Coward nel suo blog.
Tuttavia, l’analisi approfondita condotta da G DATA ha chiarito che fortunatamente non si trattava di Floxif, bensì di altri malware con caratteristiche simili, che avevano generato un falso positivo da parte dell’antivirus.
“Da notare che nella sezione download non era presente Floxif.”, commenta il ricercatore malware di G DATA Karsten Hahn, specificando che “un’infezione da virus come Floxif è una delle più gravi, in quanto danneggia i file di sistema senza possibilità di riparazione adeguata”.
I veri malware scoperti
Procolored utilizza il servizio Mega per ospitare le risorse software per le sue stampanti e offre un collegamento diretto a esse dalla sezione di supporto del sito Web ufficiale. L’indagine ha pertanto rivelato che i pacchetti software scaricabili per sei modelli di stampanti Procolored (F8, F13, F13 Pro, V6, V11 Pro e VF13 Pro) erano infetti da:
- Win32.Backdoor.XRedRAT.A: una backdoor scritta in Delphi, dotata di funzioni come keylogging, esecuzione remota di comandi e trasferimento file.
- MSIL.Trojan-Stealer.CoinStealer.H, ribattezzato SnipVex: un clipbanker .NET che intercetta e sostituisce indirizzi di wallet crittografici negli appunti dell’utente con indirizzi BTC dell’attaccante, oltre a replicarsi infettando file eseguibili (secondo la tecnica della superinfection).
In totale, G DATA avrebbe identificato 39 file compromessi, che risultano aggiornati l’ultima volta nell’ottobre 2024. Ciò potrebbe vuol dire che il malware insieme al software Procolored sarebbe stato distribuito da almeno sei mesi.
Cosa devono fare gli utenti
Inizialmente, Procolored avrebbe minimizzato il problema, parlando di falsi positivi ma dopo l’esposizione pubblica, ha rimosso i file dal sito ufficiale e avviato un’indagine interna: l’azienda sospetta che l’infezione sia avvenuta durante la copia dei file su chiavette USB usate per la distribuzione del software.
Per tutti questi motivi, chiunque abbia utilizzato il software Procolored negli ultimi mesi dovrebbe adottare le seguenti contromisure:
- Scansione antivirus completa, con software aggiornato, per rilevare XRedRAT e SnipVex.
- Sostituzione del vecchio software con le nuove versioni.
- Verifica delle esclusioni antivirus eventualmente impostate.
- Evitare software distribuito via USB o su piattaforme come mega.nz, che mancano di controlli di integrità.
Cosa impariamo
Il caso Procolored dimostra quanto siano diventati pervasivi e pericolosi gli attacchi alla supply chain software. Non si tratta più solo di file scaricati da siti o allegati sospetti: oggi, anche prodotti ufficiali acquistati da aziende legittime possono veicolare malware, compromettendo direttamente la fiducia dell’utente.
Quando un software viene compromesso a monte, durante la fase di produzione o distribuzione, è molto più difficile per l’utente finale difendersi, specialmente se il software è firmato digitalmente o accompagnato da dispositivi come chiavette USB preconfigurate.
Serve un cambiamento di mentalità con un passaggio da un approccio passivo e fiducioso verso i fornitori a un approccio attivo, critico e consapevole in materia di sicurezza che non può essere delegata solo al produttore.
È fondamentale verificare l’integrità del software, monitorare i comportamenti anomali del sistema e preferire fornitori che dimostrano trasparenza e procedure rigorose nella gestione del proprio ciclo di sviluppo e distribuzione.
Cambiare mentalità significa adottare un modello di fiducia zero (Zero Trust) anche nella supply chain, e non dare più per scontata la sicurezza solo perché un file proviene da una fonte ufficiale.
Per quanto riguarda il CoinStealer scoperto e ribattezzato con il nome SnipVex, Karsten Hahn fa sapere nel frattempo che “l’autore della minaccia ha guadagnato un po’ di soldi. Blockchain Explorer mostra che l’indirizzo BTC dell’autore della minaccia ha ricevuto un totale di 9,30857859 BTC, equivalenti a circa 100.000 dollari o 90.000 euro oggi”. G DATA ha reso disponibili tutti gli IoC della minaccia.
