Делаем принтеры и воруем крипту: чем на самом деле занимались в Procolored

Китайская компания Procolored за семь лет своего существования стала одним из самых популярных производителей принтеров. Их продукция обладала хорошим балансом цены и качества. Но, оказалось, что в Procolored занимаются еще и незаконной деятельностью. GetBlock AML Research рассказывает, как производитель попался на массовом воровстве криптовалюты.

Честное имя

Procolored начала выпускать принтеры еще в 2018 году и быстро завоевала рынок. В основном производитель сосредоточился на тканевой печати и выпускал соответствующую продукцию. До 2024 года компания не была замечена ни в каких сомнительных делах. Ее продукция экспортировалась в 31 страну.

В конце 2024 года владельцы принтеров Procolored столкнулись с проблемами при установке драйверов (специального ПО для правильной работы устройств). Антивирусные системы идентифицировали драйверы как вредоносное программное обеспечение и перемещали их в карантин. Из-за этого пользователи не могли настроить свои принтеры.

Официальный репозиторий с драйверами Procolored на файлообменнике Mega

Тайное стало явным

В одной из веток на Reddit популярный Youtube-блогер под ником Coward сообщил об описанной выше проблеме. При покупке новой модели принтера Procolored он не смог установить драйвер, который поставлялся на флешке вместе с устройством. С аналогичной проблемой блогер столкнулся при попытке скачать драйвер с официального сайта Procolored.

Тщательный анализ драйвера показал, что внутри него содержатся 39 зараженных файлов трояном удаленного доступа XRedRAT и клипером SnipVex, который заменяет в буфере обмена копируемый криптовалютный адрес на кошелек похитителей. Зараженными оказались драйверы для следующих моделей Procolored: F8, F13, F13 Pro, V6, V11 Pro и VF13 Pro.

Исходный код клипера SnipVex в файлах драйвера Procolored

Реакция Procolored

После обнаружения вирусов в драйверах принтеров Procolored удалила зараженное ПО со своего сайта и сообщила о начале внутреннего расследования. По предварительной версии производителя, вредоносные файлы попали в распространяемое ими ПО случайно, поскольку компьютеры разработчиков сами были заражены. В тот же день на сайте производителя появились чистые версии драйверов.

Ончейн-анализ

Один из адресов злоумышленников (1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj), который был найден в зараженном драйвере, принадлежит американской бирже Coinbase, согласно Arkham. Кошелек был создан в 2016 году и за время своего существования принял 9,3 BTC (почти $1 млн по курсу на 21 мая 2025 года). В основном это небольшие суммы от нескольких долларов до нескольких сотен долларов. Адрес использовался как буферный. После похищения криптовалюты она сразу же переводилась на другие одноразовые кошельки.

Сумма ущерба от действий Procolored может быть намного больше. В GetBlock AML Research обнаружили еще более 100 адресов, которые использовались для хранения похищенных средств. Все эти адреса предположительно принадлежат бирже Coinbase. Наибольшая активность кошельков злоумышленников наблюдалась в 2022 и 2024 годах.