Eine erschreckende Nachricht erschüttert die Tech-Welt: Ein chinesischer Druckerhersteller hat offizielle Treiber mit heimtückischer Malware verseucht, die es auf deine Bitcoin abgesehen hat. Lies, wie die Infektion geschah und wie du dich schützen kannst.
In einer beunruhigenden Entwicklung wurde bekannt, dass der chinesische Druckerhersteller Procolored aus Shenzhen offizielle Treiber vertrieb, die mit Bitcoin-Diebstahl-Malware infiziert waren. Diese heimtückische Software war über mindestens sechs Monate im Umlauf und verursachte bei den betroffenen Nutzern erhebliche finanzielle Einbußen. Die Entdeckung begann, als ein YouTuber beim Testen eines teuren UV-Druckers auf Malware stieß, was zunächst als Fehlalarm angesehen wurde.
Weitere Untersuchungen bestätigten jedoch eine raffinierte Kombination aus einem Backdoor und einem Kryptowährungs-Diebstahl-Virus. Infizierte Softwarepakete von der Procolored-Website betrafen sechs verschiedene Druckermodelle. Die Installation führte zur Infektion mit zwei Malware-Stämmen: Win32.Backdoor.XRedRAT.A und MSIL.Trojan-Stealer.CoinStealer.H, auch bekannt als SnipVex.
Die XRedRAT-Malware fungierte als Backdoor und ermöglichte Angreifern Fernzugriff auf die infizierten Systeme. Interessanterweise war XRedRAT bereits im Februar 2024 dokumentiert, was darauf hindeutet, dass eine bekannte Bedrohung den Weg in die Lieferkette von Procolored gefunden hatte. Dies wirft ernste Fragen bezüglich der Sicherheitsprüfungen des Herstellers auf.
Die SnipVex-Malware arbeitet durch das Ersetzen von Bitcoin-Adressen im Clipboard des Nutzers und hat so fast 953.000 US-Dollar in Bitcoin erbeutet.
Die SnipVex-Malware ist ein spezialisierter Kryptowährungs-Diebstahl-Virus. Ihre Methode ist einfach, aber effektiv: Sie ersetzt Bitcoin-Adressen im Clipboard des Nutzers. Transaktionen, die mit einer kopierten, nun gefälschten Adresse durchgeführt werden, landen direkt in den Wallets der Angreifer. Insgesamt sammelte SnipVex so etwa 9,3 BTC, was zum Zeitpunkt des Berichts fast 953.000 US-Dollar entsprach. SnipVex infiziert ausführbare Dateien auf Laufwerken und vermeidet Systemverzeichnisse, um einer Entdeckung zu entgehen.
Procolored leugnete die Vorwürfe zunächst und behauptete, es handele sich um Fehlalarme der Antivirensoftware. Erst nach öffentlichem Druck auf Reddit und der Beteiligung der Cybersicherheitsfirma G-Data nahm Procolored die infizierten Treiber von ihrer Website und leitete eine Untersuchung ein. Procolored gab an, die Infektion sei durch ein malware-infiziertes USB-Laufwerk in ihren internen Prozess gelangt, bevor die Dateien auf Mega.nz hochgeladen wurden.
Als Reaktion wurden die kompromittierten Softwarepakete am 8. Mai 2025 entfernt. Procolored versicherte, alle Dateien strengen Viren- und Sicherheitsprüfungen zu unterziehen, bevor sie wieder online gestellt werden. G-Data bestätigte die Sicherheit der neuen Pakete und riet Nutzern dringend, die alten Treiber durch die neuen zu ersetzen und einen Systemscan durchzuführen, um XRedRAT und SnipVex zu entfernen.
Nutzer, die in den letzten sechs Monaten Treiber von Procolored heruntergeladen haben, sollten unverzüglich eine vollständige Systemscan durchführen. Angesichts der Unsicherheit, ob Antivirensoftware alle Spuren der Infektion erkennt, gilt eine vollständige Systemwiederherstellung als sicherste Option. Dies ist essenziell, da SnipVex durch binäre Manipulationen persistente Schäden verursachen kann, die eine tiefgreifende Reinigung erfordern.
„Idealerweise sollten Sie Ihr Betriebssystem neu installieren und alte Dateien gründlich überprüfen,“ raten Experten zur vollständigen Bereinigung nach einer solchen Malware-Infektion.
Der Fall Procolored zeigt eindringlich die Bedeutung einer robusten Cybersicherheitsstrategie, insbesondere in der Lieferkette. Er verdeutlicht, wie leicht Malware über offizielle Kanäle verbreitet werden kann, wenn interne Prozesse Schwachstellen aufweisen. Nutzer müssen äußerst wachsam sein und ihre Systeme regelmäßig auf Bedrohungen überprüfen. Unternehmen sind ihrerseits gefordert, ihre Sicherheitsmaßnahmen zu stärken, um künftige Vorfälle zu verhindern und das Vertrauen der Nutzer zu wahren.
