Foto: Pixel-Shot/Shutterstock
Ein chinesischer Druckerhersteller steht derzeit massiv in der Kritik, nachdem bekannt wurde, dass offizielle Treibersoftware heimlich Bitcoin von Nutzern entwendet hat.
Betroffen ist die Marke Procolored, die weltweit Drucker vertreibt. Das Unternehmen soll bösartige Software über seine USB-Treiber verteilt haben, wodurch bislang mehr als 970.000 US-Dollar (860.000 €) in Bitcoin gestohlen wurden.
Laut einer Analyse des deutschen Cybersicherheitsunternehmens G Data war die Kundensoftware von Procolored über einen Zeitraum von rund sechs Monaten mit Backdoors, Infostealern und Crypto-Stealern infiziert.
Malware in offiziellen Treibern versteckt
Wie die chinesische Nachrichtenseite Landian News berichtet, war die Malware direkt in den offiziellen Druckertreibern des Herstellers versteckt. Nutzer, die die Software in den letzten sechs Monaten entweder über die Website oder per mitgelieferter USB-Stick installiert haben, liefen Gefahr, einem sogenannten Clipboard Hijacker zum Opfer zu fallen.
Diese Schadsoftware ersetzt beim Kopieren heimlich die Bitcoin-Adresse im Zwischenspeicher mit der des Angreifers. Der infizierte Treiber wurde per USB-Stick auf ein System übertragen und anschließend von Procolored selbst auf deren Servern gehostet.
Die Malware gelangte so in Umlauf – offenbar durch einen externen Entwickler, der mit der Treibererstellung beauftragt war. In China ist es üblich, dass Hardwarefirmen die Softwareentwicklung auslagern.
9,3 Bitcoin gestohlen – mehr als 970.000 US-Dollar Schaden
Die Auswirkungen sind erheblich: Insgesamt wurden 9,3 BTC entwendet, was dem aktuellen Gegenwert von über 970.000 US-Dollar entspricht. Das Cybersicherheitsunternehmen SlowMist bestätigte den Ablauf der Attacke über X.
Ob Procolored selbst hinter dem Vorfall steckt oder Opfer einer kompromittierten Drittpartei wurde, ist bislang unklar.
Der Vorfall wurde durch den YouTuber Cameron Coward aufgedeckt, der eine UV-Drucker-Review für Procolored vorbereitete. Während der Installation der Software von einem mitgelieferten USB-Stick schlug sein Antivirenprogramm wegen des Floxif-Wurms Alarm.
Seine Entdeckung verbreitete sich auf Reddit und rief G Data auf den Plan, die eine umfassende Untersuchung einleiteten. Dabei stellte sich heraus, dass mehrere Procolored-Treiber über den Cloud-Dienst MEGA verbreitet wurden – und seit Oktober 2023 mit diversen Malware-Typen infiziert waren.
Insgesamt identifizierte G Data 39 Malware-Erkennungen in 20 ausführbaren Dateien, darunter Remote Access Trojans (RATs), Clipboard-Stealer und Crypto-Stealer.
Procolored bestreitet vorsätzliches Handeln. Die infizierten Dateien seien unbeabsichtigt über verseuchte USB-Sticks ins eigene System gelangt. Inzwischen seien alle Treiber entfernt und neu gescannt worden.
Warnung: Wachsende Bedrohung für Krypto-Nutzer
Der Fall verdeutlicht einmal mehr, wie breitgefächert und gefährlich die Bedrohungen im Kryptobereich geworden sind. Mit dem Wachstum des Marktes nehmen auch die Angriffsmethoden zu.
Erst letzte Woche wurde bekannt, dass sogar Coinbase, eine der größten Kryptobörsen der Welt, Opfer eines Phishing-Angriffs wurde.
Auch Nutzer der Hardware Wallet Ledger erhalten weiterhin betrügerische Briefe mit gefälschten Geräten – eine Masche, die bereits seit 2021 existiert, aber noch immer Opfer fordert.
