Fabricante de impressoras Procolored distribuiu drivers infectados com malware por pelo menos seis meses

Durante pelo menos meio ano, a fabricante chinesa de impressoras Procolored distribuiu, por meio de seu site oficial, pacotes de software contaminados com malwares perigosos — entre eles, um trojan de acesso remoto (RAT) e um ladrão de criptomoedas. A empresa, sediada em Shenzhen, é especializada em soluções de impressão digital, como impressoras Direct-to-Film (DTF), UV DTF, UV e Direct-to-Garment (DTG), e tem ganhado notoriedade por oferecer produtos acessíveis e eficazes, com presença em mais de 31 países, incluindo uma atuação expressiva nos Estados Unidos.

A descoberta foi feita por Cameron Coward, um youtuber conhecido como Serial Hobbyism, após sua solução de segurança detectar a presença do worm Floxif ao instalar o software e os drivers de uma impressora UV Procolored avaliada em US$ 7.000.

Coward contatou a empresa, que inicialmente negou qualquer irregularidade, alegando que se tratava de um falso positivo. Ainda assim, o youtuber recorreu ao Reddit em busca de ajuda para análise do malware.

Foi então que o pesquisador da G Data, Karsten Hahn, conduziu uma investigação e identificou softwares maliciosos vinculados a pelo menos seis modelos de impressoras da marca (F8, F13, F13 Pro, V6, V11 Pro e VF13 Pro).

Os malwares estavam hospedados em arquivos disponibilizados pela Procolored via plataforma Mega.nz, com links diretos a partir da seção de suporte do site oficial. A análise detectou 39 arquivos contaminados, entre eles:

• XRedRAT: uma ameaça já documentada que permite ao invasor capturar telas, registrar pressionamentos de tecla (keylogging), manipular arquivos e acessar remotamente o sistema. Os endereços de comando e controle (C2) estavam codificados e coincidiam com amostras anteriores.

• SnipVex: um malware do tipo clipper ainda não documentado, que altera arquivos executáveis (.EXE) para capturar e substituir endereços de carteiras de Bitcoin copiados pelo usuário. A carteira associada ao SnipVex já acumulou mais de 9 BTC — cerca de US$ 1 milhão em valores atuais.

Segundo a G Data, os arquivos maliciosos datam de outubro de 2024, o que indica que os softwares infectados estavam disponíveis por ao menos seis meses. Após o alerta público e a pressão da comunidade de segurança, a Procolored removeu os arquivos em 8 de maio e iniciou uma investigação interna. Em resposta à G Data, a empresa admitiu que os arquivos foram transferidos para o Mega.nz por meio de um pendrive possivelmente infectado com o worm Floxif.

Como medida preventiva, a Procolored retirou todos os softwares do site oficial e iniciou uma varredura completa nos arquivos. Apenas os pacotes considerados seguros, validados pela G Data, foram posteriormente reativados. A empresa recomenda que os clientes substituam imediatamente o software antigo pelas novas versões e realizem varreduras em seus sistemas para garantir a remoção completa dos malwares — especialmente o SnipVex, que pode comprometer profundamente os arquivos do sistema operacional.

Via - BC