Im digitalen Zeitalter spielen Druckerhersteller eine wichtige Rolle bei der Bereitstellung von Softwarelösungen, die häufig als unverzichtbare Werkzeuge für Büro- und Produktionsumgebungen dienen. Umso besorgniserregender ist der Bericht, dass ein bekannter Druckerhersteller namens Procolored über einen Zeitraum von sechs Monaten infizierte Softwaredownloads auf seiner offiziellen Webseite zum Herunterladen angeboten hat. Diese Entdeckung wirft nicht nur ein Schlaglicht auf mögliche Sicherheitslücken in der Softwareentwicklung und -bereitstellung, sondern auch auf die Risiken, denen sich Anwender ohne eigenes Zutun aussetzen können. Die vorliegende Analyse gibt einen tiefgehenden Einblick in den Fall, die betroffenen Schadprogramme, die möglichen Auswirkungen auf betroffene Nutzer und die Reaktion von Procolored auf diese Krise. Die Geschehnisse begannen, als der Youtuber Cameron Coward, Betreiber des Technikkanals Serial Hobbyism, einen umfangreichen Praxistest mit einem UV-Drucker im Wert von 6000 US-Dollar durchführte.
Er verwendete das mitgelieferte USB-Laufwerk, das die Software für den Drucker enthielt. Kaum angesteckt, meldete seine Antivirensoftware den Befall durch eine USB-verbreitende Wurmvariante und einen sogenannten Floxif-Befall. Floxif ist bekannt als eine äußerst schädliche Dateiinfektionsvariante, die ausführbare Dateien infiziert und sich selbst über Netzlaufwerke, USB-Sticks und andere externe Speicher verbreitet. Procolored reagierte zunächst mit der Versicherung, es handle sich hierbei um Fehlalarme, was jedoch skeptisch aufgenommen wurde. Um Klarheit zu schaffen, suchte Coward im Reddit-Forum die Hilfe von Malwareanalysten – und erhielt wertvolle Unterstützung, um die Quellen der Infektion zu ermitteln.
Eine Überprüfung der auf der offiziellen Webseite von Procolored bereitgestellten Softwaredownloads für sechs verschiedene Druckermodelle offenbarte erschreckende Ergebnisse. Die Software, verteilt über getrennte Mega.nz-Folder, beinhaltete satte 8 GB an Dateien, die bis zu sechs Monate alt waren. Ein umfassender Antivirenscan fand in 39 Dateien Malware-Signaturen, was für einen Hersteller offizieller Softwarepakete ein alarmierendes Signal ist. Darunter fanden sich insbesondere zwei bedrohliche Schadprogrammtypen: Der Win32.
Backdoor.XRedRAT.A, eine Delphi-basierte Backdoor, sowie der MSIL.Trojan-Stealer.CoinStealer.
H, eine .NET-basierte Schadsoftware, die speziell darauf ausgelegt ist, Kryptowährungs-Wallets auszuspionieren oder manipulativ die eingefügten Adressen in der Zwischenablage zu verändern, um finanzielle Transaktionen umzuleiten. Dabei stellten die Experten fest, dass der gefürchtete Wurm Floxif zwar bei Coward auf seinem Rechner erkannt wurde, allerdings in den eigentlichen Downloads nicht nachweisbar war. Die Forscher führten eine tiefgehende Malwareanalyse mit einer PrintExp.exe-Datei aus dem VF 11 Pro Softwarepaket durch und bestätigten die Infektion mit der XRedRAT Backdoor.
Auffällig war, dass die hinterlegten Download-URLs exakt mit denen übereinstimmten, die zuvor bereits von der Sicherheitsfirma eSentire in einer früheren Analyse des XRed-RAT Schadprogramms aus dem Jahr 2024 dokumentiert wurden. Ein Zeichen dafür, dass es sich um eine ältere, aber weiterhin gefährliche Variante handelt. Die Backdoor ermöglichte Angreifern weitreichende Kontrollmöglichkeiten: Keylogging, Dateidownloads, das Erstellen von Screenshots, eine Kommandozeilenshell sowie das Löschen von Dateien. Interessanterweise führte das infizierte Programm nach Ausführung der Malware auch die originale saubere Version der PrintExp.exe im Hintergrund aus, was die Verschleierung der schädlichen Aktivitäten erleichtert.
Die Analyse förderte eine zweite nicht minder interessante Schadsoftware zutage: das MSIL.Trojan-Stealer.CoinStealer.H, intern auf den Namen SnipVex getauft. Überraschenderweise handelt es sich hierbei um einen Clipbanker, der lediglich einige Zeilen Code nutzt, um Bitcoin-Adressen in der Zwischenablage durch die des Angreifers zu ersetzen.
Doch SnipVex ist nicht nur ein Clipbanker, sondern zugleich ein Virus, der ausführbare Dateien infiziert und sich durch präparierte Markierungen vor einer Mehrfachinfektion schützt. Das Vorgehen ist klassisch: Die Schadsoftware erstellt Kopien von sich selbst, injiziert Icons der Original-Dateien, fügt die infizierten Dateien zusammen, versieht diese mit einem Markierungscode und verschiebt die infizierten Dateien zurück an ihren originalen Speicherort. Das erklärt auch, warum über 39 Dateien auf der Webseite von Procolored betroffen waren und zahlreiche Nutzer potenziell gefährdet wurden. Es scheint so, als ob die Infektion während der Softwareentwicklung oder Kompilierung auf den internen Systemen durch SnipVex übertragen wurde. Die monetären Motive der Angreifer werden deutlich, wenn man die damit verbundenen Kryptowährungstransaktionen betrachtet: Die Bitcoin-Adresse, die durch den Clipbanker manipuliert wurde, erhielt bislang rund 9,3 Bitcoin, was einem Gegenwert von rund 100.
000 US-Dollar entspricht. Nach Bekanntwerden der Problematik leugnete Procolored zunächst das Vorhandensein von Malware in ihren Softwarepaketen. Später erfolgte allerdings reaktiv die Entfernung aller infizierten Downloads von ihrer Website, gefolgt von internen Überprüfungen und einem Versprechen, alle Softwaredateien gründlicher Malware-Scans zu unterziehen, bevor sie wieder online gestellt werden. Ihnen zufolge könnten Infektionen durch den Einsatz von USB-Sticks bei der Übertragung der Software auf die Server begünstigt worden sein. Ebenso spielten möglicherweise internationale Betriebssystemkonfigurationen eine Rolle bei der anfänglichen Fehlinterpretation von Sicherheitsprogrammen.
Nutzer, die bereits infizierte Software heruntergeladen haben, sollten unbedingt ihre Virenscanner aktivieren und keine Ausschlüsse für die genannten Dateien gesetzt haben, da bei deaktiviertem oder ausgeschaltetem Schutz Malware unbemerkt operieren kann. Im Fall einer Infektion mit file-infecting Viren wie SnipVex ist die sicherste Maßnahme eine vollständige Neuinstallation des Betriebssystems inklusive einer Formatierung aller Laufwerke, da die dauerhafte Reinigung einzelner Dateien kaum möglich ist. Da der XRedRAT Backdoor-Server seit Februar 2024 offline ist, konnten keine weiteren schädlichen Befehle seitdem ausgeführt werden, was die aktuelle Gefahr des Backdoors begrenzt. Dennoch bleiben installierte Infektionen ein Risiko und sollten umgehend behandelt werden. Viele Spekulationen im Internet über angeblich absichtliche Schadsoftware in den Druckerupdates wurden bisher nicht durch belastbare Beweise untermauert.
Experten gehen eher davon aus, dass unzureichende antivirale Kontrollen in der Software-Lieferkette zu der Infektionslage führten. Für Unternehmen und Privatanwender ist der Vorfall eine wichtige Erinnerung an die zentrale Bedeutung von Sicherheitssystemen und der Überprüfung von Software hardwäremäßig r auf offiziellen Webseiten. Gleiches gilt für Hersteller, die ab jetzt noch stärker in die Qualitätssicherung und Sicherheitsprozesse investieren müssen, um Vertrauen zurückzugewinnen. Zusammenfassend unterstreicht das Dilemma bei Procolored die Herausforderungen der heutigen IT-Sicherheit, in denen selbst für vermeintlich sichere Peripheriegeräte wie Drucker hochgefährliche Malware durch schlampige Prozessketten und fehlende Kontrolle in die Hände von Nutzern gelangt. Jeder Anwender sollte sich bewusst sein, dass ein zuverlässiger Virenschutz essenziell bleibt und der Download von Software niemals unüberprüft erfolgen sollte.
Hersteller wiederum tragen eine große Verantwortung, um ihre Produkte mit sicherheitsgeprüfter Software auszuliefern und damit nicht zur Gefahr für ihre Kunden zu werden. Die zeitnahe und transparente Kommunikation von Sicherheitsvorfällen sowie effektive Gegenmaßnahmen sind ebenfalls unverzichtbar, um Schäden einzugrenzen und künftige Attacken zu verhindern. Der Fall Procolored ist ein Lehrbeispiel dafür, wie schnell Sicherheitslücken entstehen können und warum das Thema Malware-Schutz und Lieferkettensicherheit weiterhin höchste Priorität genießen muss.
