Procolored®, è un noto produttore di stampanti specializzato nella stampa su tessuto che si è reso inconsapevolmente artefice di minare la sicurezza dei propri utilizzatori.
É successo infatti che gli stessi utenti, hanno scaricato per mesi, dal sito ufficiale del produttore, software di aggiornamento per le stampanti che contenevano malware. Ciò ha causato anche danni gravi ai propri sistemi informatici.
La scoperta allarmante è stata resa pubblica da G DATA, azienda tedesca specializzata in sicurezza informatica, dopo la segnalazione del canale YouTube Serial Hobbyism.
Come è esploso il caso
Il caso è stato scoperto quando Cameron Coward, creatore del canale Serial Hobbyism, ha acquistato una stampante Procolored da 6.000$ di valore, per installare la quale doveva collegare una chiavetta USB fornita con il dispositivo.
È stato a quel punto che il suo antivirus, Windows Defender, gli ha segnalato la presenza di un worm USB e di una possibile infezione da Floxif, un malware (software malevolo) tristemente noto per essere stato impiegato in precedenza in altri attacchi informatici, con esiti letali in quanto danneggia i file di sistema.
“Me ne sono accorto per la prima volta quando ho iniziato a installare il software sulla chiavetta USB Procolored fornita con la stampante. Uno di questi era il file Microsoft Visual C++ Redistributable in un file zip. Ma non appena l’ho decompresso, Windows Defender ha messo in quarantena i file e mi ha informato di aver trovato un virus Floxif”, spiega Coward nel suo blog.
Fortunatamente, l’analisi condotta da G DATA ha rivelato che il virus stampante realmente presente non era Floxif ma un sistema analogo, avente caratteristiche simili, non altrettanto pericoloso ma comunque dannoso per la maggior parte dei sistemi in uso.
Un’analisi più approfondita ha rivelato comunque che il sito di supporto di Procolored, gestito dal servizio Mega, era infetto da ben due tipi di virus differenti:
- Win32.Backdoor.XRedRAT.A: una backdoor scritta in Delphi, dotata di funzioni come keylogging, esecuzione remota di comandi e trasferimento file.
- MSIL.Trojan-Stealer.CoinStealer.H, ribattezzato SnipVex: un clipbanker .NET che intercetta e sostituisce indirizzi di wallet crittografici negli appunti dell’utente con indirizzi BTC (BitCoin) dell’attaccante, oltre a replicarsi infettando file eseguibili
Che lezione impariamo da questo caso
Fino adesso molti hanno sempre considerato erroneamente certe periferiche come a “basso rischio” tra cui certamente anche le stampanti.
La sicurezza stampanti è invece un tema a cui i maggiori produttori mondiali stanno sempre di più dedicando attenzione. Ne abbiamo anche parlato in un nostro precedente articolo a tema sicurezza stampanti e Gdpr in quanto, le stesse normative come il nuovo GPSR (Regolamento Generale Sicurezza Prodotti) nonché le linee guida Cybersecurity ENISA, AGID, indicano le periferiche printing come uno degli asset da inserire nei piani della sicurezza.
Il caso Procolored dimostra però anche che, non sempre è bene fidarsi ciecamente del produttore, soprattutto se quest’ultimo si avvale di fornitori terzi per la gestione degli aggiornamenti software. Siamo ormai abituati a non scaricare file da siti o allegati sospetti ma, abbassiamo la guardia quando ci troviamo di fronte a siti ufficiali appartenenti a produttori abbastanza noti.
Addirittura, in questo caso, il file era infetto alla fonte e presente su un dispositivo hardware (chiave USB) fornito in dotazione col dispositivo stesso. Chi mai avrebbe dubitato?
È necessario modificare il nostro approccio mentale verso un atteggiamento più critico e consapevole quando affrontiamo temi sulla sicurezza informatica, adottando comportamenti e best practices a prescindere dal fatto che ci rivolgiamo direttamente al produttore o no.
Tutte le volte che scarichiamo un software sarebbe bene verificarne sempre l’integrità, magari facendogli fare prima di tutto un check dell’Antivirus.
Adottare anche strumenti di monitoraggio stampanti o print management software consentono di rilevare comportamenti anomali e correre ai ripari prima che sia troppo tardi.
In ogni caso, anche la scelta del fornitore stampanti non deve essere fatta a caso.
Rivolgersi a grossi produttori affermati, e da tempo sul mercato, piuttosto che a piccoli brand, magari tecnologicamente stuzzicanti ma meno strutturati e con meno capacità di investire in cybersecurity, è sempre da preferire.
Adottare un approccio ZERO TRUST è ormai diventato un must per chi si occupa di cybersecurity ed è necessario che questa forma mentis sia trasferita a tutti i livelli e settori aziendali, e non solo nelle grandi aziende ma, anche nelle PMI.
Vuoi maggiori informazioni su questi argomenti? Contattaci
