Malwarebytesはこのほど、「Malware-infected printer delivered something extra to Windows users|Malwarebytes」において、中国を拠点とするプリンタ製造販売企業「Procolored」の製品からマルウェアが発見されたと報じた。

マルウェアは2種類特定されており、感染するとバックドアの構築、機密情報や暗号資産の窃取など複数の被害に遭う可能性があるという。

  • Malware-infected printer delivered something extra to Windows users|Malwarebytes

    Malware-infected printer delivered something extra to Windows users|Malwarebytes

製品レビュー用の機材にもマルウェア

マルウェアはレビュワーのCameron Coward氏により発見された。同氏はProcoloredから製品レビューの依頼を受け、V11 Pro DTO/DTF UVプリンタのレビューモデルを受領し、付属のUSBメモリからソフトウェアをインストールしたという。

ソフトウェアには「Microsoft Visual C++再頒布可能パッケージ」が含まれており、これを解凍した途端、Windows Defenderがファイルを隔離してマルウェア「Floxif」の検出を通知したとされる(参考:「The Maker’s Toolbox: Procolored V11 Pro DTO UV Printer Review - Hackster.io」)。

同氏は何かの間違いかもしれないと考え、正規のソフトウェアをMicrosoftから直接ダウンロードして作業を続行している。しかしながら、その後も別の不具合に遭遇し、最新ソフトウェアをProcoloredからダウンロードしたが、このダウンロード時にもマルウェアが検出されたという。不審に思った同氏は調査を開始し、同様の報告が多数寄せられていることを発見した。

こうした事態に陥っているのは自分だけではないと確信した同氏はProcoloredに問い合わせたが、サポート担当者はマルウェアの存在を否定し、誤検知を主張したという。

G DATA Cyber​​Defenseが助け舟を出す

Cameron Coward氏は広く助けを求め、複数の協力者からマルウェアの報告を受け取っている。セキュリティ企業「G DATA Cyber​​Defense」に勤めるマルウェア研究者のKarsten Hahn氏は、この件について徹底的な調査を行っている(参考:「Printer company provided infected software downloads for half a year」)。

Hahn氏の調査レポートによるとマルウェアは少なくとも20個のファイルに存在し、すべてが異なるマルウェアではなく、次の2種類のみとされる。

  • Win32.Backdoor.XRedRAT.A
  • MSIL.Trojan-Stealer.CoinStealer.H

前者はバックドア機能を持つ情報窃取マルウェアとされ、後者は暗号通貨の窃取を目的としたマルウェアとされる。Windows Defenderが特定したFloxifは発見されていない。

なお、マルウェアのバックドア機能は接続先のコマンド&コントロール(C2: Command and Control)サーバがオフラインになっており、機能していないとみられている。しかしながら、暗号資産を窃取するマルウェア(今回研究者により「SnipVex」と名付けられている)は深刻な脅威とされ、攻撃者は多額の利益を得た可能性があるという。

対策

発見されたマルウェアは比較的古く、既存のセキュリティソリューションによる検出が可能とされる。Procolored製品に付属のソフトウェアをインストールし、すでにマルウェアの感染が疑われる場合は、すべてのドライブをフォーマットしてからオペレーティングシステムを再インストールすることが推奨されている。

G DATA Cyber​​DefenseのKarsten Hahn氏はレポートの中でセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。