Procolored: Cảnh Báo Mã Độc Máy In, An Ninh Mạng

Phần mềm máy in Procolored: “Cơn ác mộng” bảo mật cho người dùng?

Người dùng các dòng máy in phun, đặc biệt là máy in UV Procolored, đang đối mặt với một nguy cơ bảo mật nghiêm trọng. Theo thông tin từ Neowin và các chuyên gia an ninh mạng, phần mềm đi kèm sản phẩm của hãng này đã vô tình phát tán mã độc trong nhiều tháng qua. Điều này đồng nghĩa với việc dữ liệu cá nhân, tài chính của bạn có thể bị đánh cắp bất cứ lúc nào.

Câu chuyện bắt đầu khi Cameron Coward, một YouTuber công nghệ nổi tiếng với kênh “Serial Hobbyism”, tiến hành đánh giá chiếc máy in UV Procolored trị giá 6.000 USD. Trong quá trình cài đặt phần mềm đi kèm máy, phần mềm diệt virus trên máy tính của Coward liên tục báo động về sự hiện diện của mã độc trên USB chứa phần mềm cài đặt.

Ban đầu, các mối đe dọa được xác định là sâu lây lan qua USB và mã độc lây nhiễm tệp Floxif. Tuy nhiên, khi Coward liên hệ với Procolored, hãng này đã phủ nhận hoàn toàn và cho rằng đây chỉ là báo động giả.

Không chấp nhận lời giải thích này, Coward đã chia sẻ thông tin lên Reddit, thu hút sự chú ý của G Data, một công ty an ninh mạng uy tín. G Data đã vào cuộc và tiến hành điều tra kỹ lưỡng các gói phần mềm mà Procolored cung cấp công khai trên mạng. Các gói phần mềm này được cập nhật lần cuối vào khoảng tháng 10 năm 2023.

Kết quả điều tra khiến nhiều người phải “giật mình”: không chỉ USB của Coward mà nhiều tệp cài đặt chính thức cho các dòng máy in khác nhau của Procolored cũng chứa phần mềm độc hại.

G Data đã xác định hai loại mã độc chính ẩn náu trong phần mềm máy in Procolored:

• Win32.Backdoor.XRedRAT.A: Đây là một loại backdoor cũ, cho phép kẻ gian truy cập trái phép vào hệ thống của người dùng. Chúng có thể điều khiển máy tính từ xa, đánh cắp dữ liệu, cài đặt phần mềm độc hại khác và thực hiện nhiều hành vi nguy hiểm khác.
• MSIL.Trojan-Stealer.CoinStealer.H (được G Data đặt tên là “SnipVex”): Loại mã độc này đặc biệt nguy hiểm đối với những người sử dụng tiền điện tử. SnipVex có khả năng tự động thay thế địa chỉ ví tiền điện tử mà người dùng sao chép trong clipboard bằng địa chỉ ví của kẻ tấn công. Điều này có nghĩa là nếu bạn sao chép địa chỉ ví của mình để thực hiện giao dịch, SnipVex sẽ thay thế nó bằng địa chỉ ví của kẻ gian, và tiền của bạn sẽ “không cánh mà bay”.

Ngoài ra, SnipVex còn có khả năng tự nhân bản và lây nhiễm vào các tệp thực thi khác trên máy tính. Điều này khiến cho việc loại bỏ nó trở nên vô cùng khó khăn.

Hơn 100.000 USD đã bị đánh cắp bởi mã độc SnipVex

Nghiên cứu sâu hơn cho thấy, dù máy chủ điều khiển của XRedRAT có thể đã ngoại tuyến từ tháng 2 năm 2024, nhưng SnipVex vẫn là một mối đe dọa thực sự. Địa chỉ ví Bitcoin liên kết với SnipVex đã nhận được khoảng 9,3 BTC (tương đương hơn 100.000 USD vào thời điểm đó) trước khi ngừng hoạt động vào ngày 3 tháng 3 năm 2024.

Sự lây lan rộng rãi này cho thấy có khả năng mã độc đã xâm nhập vào hệ thống máy chủ xây dựng phần mềm hoặc máy trạm của một nhà phát triển tại Procolored. Điều này cho thấy quy trình kiểm soát an ninh mạng của Procolored có vấn đề nghiêm trọng.

Phản ứng của Procolored và lời khuyên từ chuyên gia

Trước những bằng chứng không thể chối cãi từ G Data, Procolored đã có phản hồi chính thức. Công ty thừa nhận phần mềm có thể đã nhiễm virus trong quá trình sao chép từ USB và cho rằng một số hệ điều hành có thể nhận diện nhầm phần mềm tiếng Trung (PrintEXP) là độc hại.

Procolored cũng thông báo đã tạm thời gỡ bỏ toàn bộ phần mềm khỏi trang chủ vào ngày 8 tháng 5 năm 2024 để tiến hành rà soát và sau đó đã cung cấp các gói phần mềm mới đảm bảo an toàn. Tuy nhiên, động thái này vẫn không thể xoa dịu được sự lo lắng của người dùng.

G Data khuyến cáo những khách hàng đã tải phần mềm Procolored trong khoảng 6 tháng trước đó nên hết sức cẩn trọng. Người dùng cần kiểm tra lại các thiết lập loại trừ của phần mềm diệt virus (vì phần mềm chính hãng thường được tin tưởng bỏ qua). Do tính chất nguy hiểm của các mã độc lây nhiễm tệp như Floxif và SnipVex, có khả năng gây hư hỏng hệ thống nghiêm trọng, G Data khuyên rằng giải pháp an toàn nhất là định dạng lại toàn bộ ổ cứng và cài đặt lại hệ điều hành.

Bài học đắt giá về an ninh mạng

Dù G Data không tìm thấy bằng chứng Procolored cố ý phát tán mã độc, vụ việc này là một lời nhắc nhở đắt giá về tầm quan trọng của an ninh mạng trong quy trình phát triển và phân phối phần mềm. Procolored đã cam kết sẽ cải thiện các quy trình nội bộ để ngăn chặn sự cố tương tự tái diễn.

Làm thế nào để bảo vệ bạn khỏi mã độc từ phần mềm máy in?

• Luôn cập nhật phần mềm diệt virus: Đảm bảo rằng phần mềm diệt virus của bạn luôn được cập nhật phiên bản mới nhất để có thể phát hiện và loại bỏ các mối đe dọa mới nhất.
• Quét virus thường xuyên: Thực hiện quét virus toàn bộ hệ thống thường xuyên để phát hiện và loại bỏ các phần mềm độc hại tiềm ẩn.
• Tải phần mềm từ nguồn tin cậy: Chỉ tải phần mềm từ các trang web chính thức của nhà sản xuất hoặc các nguồn phân phối uy tín.
• Kiểm tra kỹ trước khi cài đặt: Trước khi cài đặt bất kỳ phần mềm nào, hãy kiểm tra kỹ thông tin về nhà phát triển, đánh giá của người dùng và các cảnh báo từ phần mềm diệt virus.
• Cẩn trọng với USB: Không sử dụng USB từ các nguồn không rõ. Nếu cần sử dụng, hãy quét virus trước khi mở.
• Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu quan trọng thường xuyên để đảm bảo rằng bạn không bị mất dữ liệu trong trường hợp bị nhiễm mã độc.
• Cân nhắc định dạng lại ổ cứng: Nếu bạn nghi ngờ máy tính của mình đã bị nhiễm mã độc nghiêm trọng, hãy cân nhắc định dạng lại ổ cứng và cài đặt lại hệ điều hành. Đây là biện pháp cuối cùng, nhưng có thể là cách duy nhất để đảm bảo rằng mã độc đã được loại bỏ hoàn toàn.

Tóm lại: An ninh mạng là “tấm khiên” bảo vệ dữ liệu cá nhân của bạn

Vụ việc phần mềm máy in Procolored chứa mã độc là một hồi chuông cảnh tỉnh cho tất cả người dùng về tầm quan trọng của an ninh mạng. Hãy luôn cảnh giác, tuân thủ các biện pháp phòng ngừa và cập nhật kiến thức về các mối đe dọa mới nhất để bảo vệ dữ liệu cá nhân và tài chính của bạn khỏi những kẻ tấn công.