中国プリンタメーカーが配布した公式ソフトにマルウェア 約半年間公開か：セキュリティニュースアラート

中国のプリンタメーカーProcoloredの公式サイトで配布されていたソフトウェアに、XRedRATとCoinStealerの2種のマルウェアが含まれていた。調査によると、既に最大10万ドルの被害も確認されている。

[後藤大地，有限会社オングス]

　G DATA CyberDefenseは2025年5月15日（現地時間）、中国のプリンタメーカーProcoloredの公式サイトから約半年間にわたってマルウェアに感染したソフトウェアが配布されていた事例について、詳細な分析結果を公開した。

　問題が明るみに出たきっかけは、「YouTube」チャンネル「Serial Hobbyism」を運営するキャメロン・カワード氏が、Procolored製のUVプリンタをレビューするため、同梱されていたUSBメモリからソフトウェアを実行したところ、ウイルス対策ソフトがマルウェア「Floxif」とUSBワームの感染を検出したことだった。当初、Procoloredはこれを誤検知と主張したが、カワード氏はSNS「Reddit」を通じて専門家の支援を求め、G DATA CyberDefenseが調査を実施した。

公式ソフトに仕込まれていた2つのマルウェア　その詳細は？

　調査によると、Procoloredの公式サイトで公開されていた6つのプリンタ製品（「F8」「F13」「F13 Pro」「V6」「V11 Pro」「VF13 Pro」）向けのソフトウェアにはマルウェアが含まれており、検出したマルウェアは「XRedRAT（Win32.Backdoor.XRedRAT.A）」と「CoinStealer（MSIL.Trojan-Stealer.CoinStealer.H）」の2種類で、いずれも深刻な脅威とされている。

　XRedRATはキーロギングやスクリーンショットの取得、コマンドシェルの提供、ファイルの削除などを可能にするバックドア型マルウェアで、2024年2月にeSentireが発見したバージョンとほぼ同一であり、過去のC2サーバURLやバージョン番号も一致していたことが確認されている。

　CoinStealerは仮想通貨のウォレットアドレスをクリップボードから盗み取って攻撃者のアドレスにすり替えるいわゆるクリップバンカー型マルウェアで、G DATA CyberDefenseは発見したこのマルウェアを「SnipVex」と名付けている。このマルウェアはプレペンド型の.exe感染ウイルスでもあり、簡素ながらも自己複製機能を持つ。

　Procoloredは、カワード氏からの報告後に公式サイトのソフトウェアダウンロードを削除し、内部調査を開始した。G DATA CyberDefenseによる問い合わせに対し、ProcoloredはUSBメモリ経由でマルウェアが混入した可能性があると説明し、今後は全てのファイルに対して厳格なマルウェアスキャンを実施すると表明している。また、影響を受けた可能性のあるユーザーには個別にサポートを提供しており、安全性が確認済みの新バージョンのソフトウェアが既に配布されているという。

　攻撃者のビットコインアドレスに合計9.3BTC（約10万ドル相当）が入金されていたことがブロックチェーンの記録から確認されており、このキャンペーンにより一定の金銭的利益を得ていた可能性がある。XRedRATのC2サーバは2024年2月以降オフラインとなっており、現時点でのリモート操作の可能性は低いが、SnipVexによる感染は依然として深刻なリスクを残している。

　G DATA CyberDefenseは公式提供元のソフトウェアであってもウイルス対策ソフトによる警告を無視せず、安易に例外設定をしないようユーザーに注意を促している。また、ファイル感染型マルウェアに感染した場合、ドライブのフォーマットやOSの再インストールを推奨している。