953 bin dolarlık BTC çalındı!

Çinli yazıcı üreticisi Procolored, resmi sürücüleriyle birlikte Bitcoin çalan kötü amaçlı yazılım dağıttı, yerel medya raporlarına göre.

Çinli haber kaynağı Landian News, 19 Mayıs’ta, Shenzhen merkezli yazıcı şirketi Procolored’ın resmi sürücülerle birlikte Bitcoin (BTC) çalan kötü amaçlı yazılım dağıttığını bildirdi. Şirketin kötü amaçlı yazılım barındıran sürücüleri USB sürücüler aracılığıyla dağıttığı ve bu tehlikeli yazılımı küresel indirme için bulut depolama alanına yüklediği bildirildi.

Rapora göre toplamda 9,3 BTC (953.000 dolardan fazla) çalındı. Kripto takip ve uyumluluk şirketi Slow Mist, kötü amaçlı yazılımın nasıl çalıştığını 19 Mayıs tarihli X gönderisinde şöyle açıkladı:

“Bu yazıcının sağladığı resmi sürücü, bir arka kapı programı içeriyor. Kullanıcının panosundaki cüzdan adresini ele geçirip, saldırganın adresiyle değiştiriyor.”

YouTuber, Procolored sürücülerinde kötü amaçlı yazılım tespit etti

Landian News, son altı ay içinde Procolored yazıcı sürücülerini indiren kullanıcıların “derhal bir antivirüs yazılımıyla tam sistem taraması gerçekleştirmesini” önerdi. Yine de antivirüs yazılımlarının güvenilmezliği göz önüne alındığında, şüpheli durumlarda tam sistem sıfırlaması her zaman daha iyi bir seçenek:

“İdeal olarak, işletim sisteminizi yeniden yüklemeli ve eski dosyaları dikkatlice kontrol etmelisiniz.”

İddialara göre sorun ilk olarak, bir Procolored UV yazıcıyı test ederken sürücülerde kötü amaçlı yazılım tespit eden YouTuber Cameron Coward tarafından rapor edildi. Antivirüs yazılımı, sürücüyü Foxif adlı bir solucan ve truva atı içerdiği gerekçesiyle işaretledi.

İlgili: Kimlik avı saldırısına uğrayan Coinbase 400 milyon dolarlık faturayla karşı karşıya

Siber güvenlik şirketi, kripto çalan kötü amaçlı yazılımı doğruladı

İletişime geçildiğinde, Procolored iddiaları reddetti ve sürücüleri işaretleyen antivirüs aracını yanlış pozitif olarak nitelendirdi. Coward, konuyu Reddit’e taşıyarak siber güvenlik uzmanlarıyla paylaştı ve böylece siber güvenlik firması G-Data’nın dikkatini çekti.

G-Data’nın yürüttüğü soruşturmada, Procolored’ın sürücülerinin çoğunun MEGA adlı dosya barındırma hizmetinde yer aldığı ve yüklemelerin Ekim 2023 kadar eskiye dayandığı ortaya çıktı. Bu dosyaların analizi, iki ayrı kötü amaçlı yazılım içerdiğini doğruladı: Win32.Backdoor.XRedRAT.A adlı bir arka kapı yazılımı ve panodaki adresleri saldırganın kontrolündeki adreslerle değiştirmek üzere tasarlanmış bir kripto hırsızı.

G-Data, Procolored ile iletişime geçti ve donanım üreticisi, 8 Mayıs’ta enfekte sürücüleri depolamadan sildiğini ve tüm dosyaları yeniden taradığını bildirdi. Procolored, kötü amaçlı yazılımı tedarik zinciri ihlaliyle ilişkilendirdi ve zararlı dosyaların çevrimiçi yüklenmeden önce enfekte USB aygıtları aracılığıyla sisteme sokulduğunu belirtti.