สื่อจีน Landian News รายงานว่า บริษัทผู้ผลิตเครื่องพิมพ์ในเซินเจิ้นชื่อว่า Procolored ได้แจกจ่าย ไดรเวอร์เครื่องพิมพ์ที่ฝังมัลแวร์ขโมยคริปโต มากับซอฟต์แวร์ทางการของบริษัท โดยมัลแวร์ดังกล่าวมุ่งเป้าขโมย Bitcoin จากผู้ใช้ทั่วโลกผ่านกลไกเปลี่ยนที่อยู่กระเป๋าสตางค์ในคลิปบอร์ด
บริษัทใช้ USB drivers ที่ติดมัลแวร์เป็นตัวกลาง และอัปโหลดไฟล์เหล่านี้ขึ้น cloud ให้ดาวน์โหลดทั่วโลก ผลคือมีผู้เสียหายถูกขโมย Bitcoin ไปแล้วรวมกว่า 9.3 BTC หรือประมาณ 953,000 ดอลลาร์สหรัฐ
วิธีการโจมตี – มัลแวร์เปลี่ยน “ที่อยู่กระเป๋า” อัตโนมัติ
บริษัทด้านความปลอดภัยทางไซเบอร์ SlowMist อธิบายว่า มัลแวร์ฝังอยู่ในไฟล์ไดรเวอร์ทางการ และจะทำงานโดย สแกนคลิปบอร์ดของผู้ใช้ หากพบว่ามีการคัดลอกที่อยู่กระเป๋าเงินคริปโต มัลแวร์จะเปลี่ยนที่อยู่นั้นเป็นของแฮกเกอร์แบบแนบเนียน ทำให้เหยื่อส่งเงินผิดโดยไม่รู้ตัว
YouTuber เป็นคนแรกที่ตรวจเจอ – ไวรัส “Foxif” และ “Backdoor”
YouTuber ชื่อว่า Cameron Coward คือคนแรกที่ตรวจพบปัญหานี้ระหว่างทดสอบเครื่องพิมพ์ UV ของ Procolored โดยซอฟต์แวร์แอนตี้ไวรัสของเขาตรวจพบไวรัสประเภท worm และ trojan ที่ชื่อว่า Foxif ซึ่งทำให้เขานำเรื่องไปโพสต์ใน Reddit และได้รับความสนใจจากบริษัทไซเบอร์ชื่อดัง G-Data
G-Data ตรวจสอบต่อ และพบว่าไดรเวอร์ส่วนใหญ่ของ Procolored ถูกอัปโหลดไว้บนบริการ MEGA ตั้งแต่เดือนตุลาคม 2023 และมีการฝังมัลแวร์จริง 2 ตัว คือ
- Win32.Backdoor.XRedRAT.A
- Crypto Stealer ที่เปลี่ยนที่อยู่กระเป๋าเงินในคลิปบอร์ด
Procolored ปฏิเสธ – โทษว่าเป็น “ปัญหาในห่วงโซ่อุปทาน”
เมื่อถูกติดต่อ Procolored ปฏิเสธว่าตนไม่มีเจตนา โดยอ้างว่าโปรแกรมแอนตี้ไวรัสตรวจผิด (false positive) แต่หลัง G-Data เปิดเผยข้อมูลเพิ่มเติม Procoloredยอมลบไฟล์ติดไวรัสออกจากระบบ cloud ของตนเมื่อวันที่ 8 พฤษภาคม และสแกนไฟล์ใหม่ทั้งหมด
บริษัทกล่าวว่า เหตุการณ์นี้อาจเป็นผลจาก “supply chain attack” โดยมัลแวร์อาจถูกใส่เข้ามาผ่าน USB drive ที่ติดไวรัสก่อนอัปโหลดขึ้นระบบของบริษัท
คำแนะนำสำหรับผู้ใช้งาน
- ผู้ที่เคยดาวน์โหลดไดรเวอร์จาก Procolored ในช่วง 6 เดือนที่ผ่านมา ควรสแกนระบบด้วยโปรแกรมแอนตี้ไวรัสทันที
- หากไม่มั่นใจ ควรล้างเครื่องและติดตั้งระบบปฏิบัติการใหม่ พร้อมตรวจสอบไฟล์ทั้งหมดอย่างละเอียด
อ้างอิง : cointelegraph.com
ภาพ securityweek.com
