Des pilotes d’imprimantes Procolored ont permis de propager de dangereux virus. Cachés dans le code de logiciels officiels, ces malwares sont capables de voler les mots de passe et les cryptomonnaies des victimes. L’entreprise chinoise a depuis retiré les logiciels de son site et ouvert une enquête.
Les chercheurs de GData Software ont découvert des virus dans les pilotes accompagnant des imprimantes Procolored. Vendues en France, notamment sur Amazon, ces imprimantes sont surtout utilisées par les petites entreprises, les ateliers de création et les professionnels de l’impression sur textiles. Basée à Schenzen en Chine, la firme vend ses imprimantes dans plus de 31 pays.
Dans un rapport publié récemment, les chercheurs indiquent avoir décelé la présence des logiciels malveillants après avoir été prévenus par Cameron Coward, un vidéaste qui a testé l’une des imprimantes de la marque chinoise. Celui-ci a remarqué que le pilote de son imprimante déclenchait une alerte antivirus une fois installé.
Si « j’essaie de télécharger les fichiers à partir de leur site Web ou de décompresser les fichiers sur la clé USB qu’ils m’ont donnée, mon ordinateur les met immédiatement en quarantaine », explique Cameron Coward.
Dans un premier temps, Cameron Coward a demandé des comptes à Procolored. La société a nié la présence d’un virus, en assurant qu’il s’agit simplement de faux positifs. Alerté par Coward, GData Software a réalisé des analyses poussées des pilotes des imprimantes. Les chercheurs ont étudié les fichiers hébergés sur Mega par la firme chinoise.
À lire aussi : Gare à Chihuahua, le nouveau virus qui vole vos mots de passe et vos cryptos
Au moins 6 imprimantes sont concernées
Les analyses de GData ont abouti à la découverte de logiciels malveillants dans le code des pilotes d’au moins six modèles d’imprimantes, à savoir les F8, F13, F13 Pro, V6, V11 Pro et VF13 Pro. Les experts estiment que les virus sont diffusés à travers les pilotes de Procolored depuis au moins six mois. Un total de 39 fichiers ont été infectés.
Parmi les virus épinglés par GData, on trouve XRedRAT, un cheval de Troie d’accès à distance qui offre le contrôle total d’un ordinateur, permet de surveiller tout ce qui est tapé sur le clavier, et de voler les mots de passe de l’utilisateur. Les analyses ont également permis de débusquer un virus appelé SnipVex, taillé pour dérober les cryptomonnaies des victimes. Celui-ci est conçu pour intercepter les données copiées dans le presse-papiers, en particulier les adresses de portefeuilles de cryptomonnaies, et les remplacer par une adresse contrôlée par l’attaquant, afin de détourner des fonds. Selon les chercheurs, l’adresse utilisée par SnipVex a déjà perçu plus de 9 bitcoins, soit près d’un million de dollars.
A lire aussi : Arnaque à la carte sans contact – un virus utilise le NFC de votre smartphone pour vous dépouiller
Une enquête est ouverte
Dos au mur, Procolored a finalement retiré tous les pilotes et ouvert une enquête interne. Par précaution, « tous les logiciels ont été temporairement retirés du site officiel de Procolored ». Nous « effectuons une analyse complète des logiciels malveillants de chaque fichier, ce n’est qu’après avoir passé des contrôles stricts de virus et de sécurité que le logiciel sera retéléchargé », souligne le groupe chinois. Une « fois que tous les logiciels auront été soigneusement examinés et confirmés, nous mettrons à jour le site Web et informerons les clients par le biais de nos canaux officiels de télécharger la dernière version ».
À ce stade, on ignore comment les logiciels officiels de l’entreprise ont pu être infectés. Procolored indique que le « logiciel disponible sur notre site Web a d’abord été transféré à l’aide de clés USB », et qu’il « est possible qu’un virus a été introduit à ce moment-là ». Un employé aurait pu profiter de l’occasion pour tenter de se faire de l’argent.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
G Data