Theo Neowin, người dùng máy in phun Procolored, đặc biệt là các mẫu UV, đang đứng trước nguy cơ bảo mật nghiêm trọng sau khi công ty này bị phát hiện đã vô tình phát tán mã độc thông qua phần mềm đi kèm sản phẩm trong nhiều tháng.

Hồi chuông cảnh báo đầu tiên được gióng lên bởi Cameron Coward, một YouTuber công nghệ nổi tiếng với kênh 'Serial Hobbyism'. Trong quá trình đánh giá chiếc máy in UV Procolored trị giá 6.000 USD, phần mềm diệt virus trên máy tính của Coward đã phát hiện mã độc từ USB chứa phần mềm cài đặt đi kèm máy. Các mối đe dọa ban đầu được xác định là sâu lây lan qua USB và mã độc lây nhiễm tệp Floxif. Tuy nhiên, khi Coward liên hệ, Procolored ban đầu đã lập tức phủ nhận, cho rằng đây chỉ là báo động giả.

Không bỏ cuộc, Coward đã chia sẻ vấn đề lên Reddit, thu hút sự chú ý của G Data, một công ty an ninh mạng uy tín. G Data đã vào cuộc và tiến hành điều tra kỹ lưỡng các gói phần mềm mà Procolored cung cấp công khai trên mạng, vốn được cập nhật lần cuối vào khoảng tháng 10.2023. Kết quả đáng báo động được đưa ra là không chỉ USB của Coward mà nhiều tệp cài đặt chính thức cho các dòng máy in khác nhau của Procolored cũng chứa phần mềm độc hại.

G Data đã xác định hai loại mã độc chính là Win32.Backdoor.XRedRAT.A, một loại backdoor cũ cho phép kẻ gian truy cập trái phép vào hệ thống, và MSIL.Trojan-Stealer.CoinStealer.H (được G Data đặt tên là 'SnipVex'). SnipVex đặc biệt nguy hiểm khi có thể tự động thay thế địa chỉ ví tiền điện tử người dùng sao chép trong clipboard bằng địa chỉ ví của kẻ tấn công. Ngoài ra, nó còn có khả năng tự nhân bản và lây nhiễm vào các tệp thực thi khác trên máy tính.

Nghiên cứu sâu hơn cho thấy, dù máy chủ điều khiển của XRedRAT có thể đã ngoại tuyến từ tháng 2.2024, nhưng SnipVex vẫn là một mối đe dọa thực sự. Địa chỉ ví Bitcoin liên kết với SnipVex đã nhận được khoảng 9,3 BTC (tương đương hơn 100.000 USD vào thời điểm đó) trước khi ngừng hoạt động vào ngày 3.3.2024. Sự lây lan rộng rãi này cho thấy có khả năng mã độc đã xâm nhập vào hệ thống máy chủ xây dựng phần mềm hoặc máy trạm của một nhà phát triển tại Procolored.

Trước những bằng chứng không thể chối cãi từ G Data, Procolored đã có phản hồi chính thức. Công ty thừa nhận phần mềm có thể đã nhiễm virus trong quá trình sao chép từ USB và cho rằng một số hệ điều hành có thể nhận diện nhầm phần mềm tiếng Trung (PrintEXP) là độc hại. Procolored cũng thông báo đã tạm thời gỡ bỏ toàn bộ phần mềm khỏi trang chủ vào ngày 8.5.2024 để tiến hành rà soát và sau đó đã cung cấp các gói phần mềm mới đảm bảo an toàn.

Tuy nhiên, G Data khuyến cáo những khách hàng đã tải phần mềm Procolored trong khoảng 6 tháng trước đó nên hết sức cẩn trọng. Người dùng cần kiểm tra lại các thiết lập loại trừ của phần mềm diệt virus (vì phần mềm chính hãng thường được tin tưởng bỏ qua). Do tính chất nguy hiểm của các mã độc lây nhiễm tệp như Floxif và SnipVex, có khả năng gây hư hỏng hệ thống nghiêm trọng, G Data khuyên rằng giải pháp an toàn nhất là định dạng lại toàn bộ ổ cứng và cài đặt lại hệ điều hành.

Dù G Data không tìm thấy bằng chứng Procolored cố ý phát tán mã độc, vụ việc này là một lời nhắc nhở đắt giá về tầm quan trọng của an ninh mạng trong quy trình phát triển và phân phối phần mềm. Procolored đã cam kết sẽ cải thiện các quy trình nội bộ để ngăn chặn sự cố tương tự tái diễn.