Um grave incidente de segurança cibernética veio à tona recentemente envolvendo a Procolored, fabricante de impressoras sediada em Shenzhen. Relatos indicam que a empresa distribuiu inadvertidamente drivers de impressora com malware, levando ao roubo de mais de US$950.000 em Bitcoin. O malware, identificado como um sequestrador de área de transferência, estava incorporado em drivers de impressora oficiais e distribuído por meio de unidades USB e plataformas de armazenamento em nuvem.
O problema foi inicialmente sinalizado pelo YouTuber Cameron Coward, que encontrou atividade suspeita ao testar uma impressora Procolored UV. Seu software antivírus detectou a presença de um worm e um vírus trojan chamado Foxif nos drivers fornecidos.
Investigações subsequentes da empresa de segurança cibernética G-Data confirmaram que os drivers, hospedados no serviço de compartilhamento de arquivos MEGA, foram comprometidos por dois tipos distintos de malware: o backdoor Win32.Backdoor.XRedRAT.A e um ladrão de criptomoedas projetado para substituir endereços de carteira na área de transferência por aqueles controlados pelo invasor.
O sequestrador da área de transferência opera monitorando a área de transferência do Windows em busca de endereços de carteiras de criptomoedas. Quando um usuário copia um endereço de Bitcoin ou Ethereum, o malware o substitui por um endereço de propriedade do invasor. Essa manipulação ocorre sem o conhecimento do usuário, resultando no envio de fundos para a carteira do agente malicioso em vez do destinatário pretendido. Dada a natureza irreversível das transações em blockchain, as vítimas ficam sem recursos para recuperar seus ativos roubados.
Ao ser alertada sobre o problema, a Procolored reconheceu o problema e atribuiu o malware a um comprometimento da cadeia de suprimentos. A empresa afirmou que os drivers infectados foram introduzidos por meio de dispositivos USB comprometidos antes de serem carregados em suas plataformas de armazenamento. Em resposta, removeu os drivers infectados de seu armazenamento imediatamente e examinou novamente todos os arquivos para evitar novos incidentes.
Usuários que baixaram drivers de impressora Procolored nos últimos 6 meses são fortemente aconselhados a tomar medidas imediatas. Especialistas em segurança cibernética recomendam realizar uma verificação completa do sistema usando um software antivírus confiável. Nos casos em que o software antivírus não detecta o malware, recomenda-se uma reinicialização completa do sistema para garantir a remoção completa da ameaça.
Este incidente ressalta a importância crucial de proteger a cadeia de suprimentos na fabricação de hardware. Ele destaca como vulnerabilidades em produtos aparentemente não relacionados, como impressoras, podem ser exploradas para facilitar crimes cibernéticos. O ataque também serve como um lembrete claro dos riscos associados ao download de software de fontes não oficiais ou não verificadas.
À medida que o ecossistema de criptomoedas continua a crescer, ele se torna um alvo cada vez mais atraente para criminosos cibernéticos. Este ataque exemplifica os métodos sofisticados empregados por invasores para explorar vulnerabilidades e ressalta a necessidade de maior conscientização e vigilância entre os usuários.
