Thought Leadership
Der Druckerhersteller Procolored hat über Monate hinweg versehentlich schadhafte Software über seine eigene Webseite verteilt. Erst externe Sicherheitsexperten konnten die Infektion eindeutig nachweisen – und das, obwohl Kunden frühzeitig gewarnt hatten.
USB-Stick mit böser Überraschung
Der Vorfall kam ans Licht, als der Betreiber des YouTube-Kanals Serial Hobbyism einen Produkttest mit einem Spezialdrucker von Procolored durchführen wollte. Beim Einstecken des beiliegenden USB-Sticks mit der Druckersoftware schlug seine Antiviren-Software Alarm – Malware wurde erkannt.
Trotz Rückmeldung an den Hersteller, der den Alarm zunächst als Fehlmeldung abtat, blieb ein mulmiges Gefühl. Deshalb wandte sich der YouTuber an die Online-Community und fand Unterstützung bei einem professionellen Malware-Analysten.
Expertenanalyse entlarvt echte Bedrohung
Fachleute von G DATA CyberDefense untersuchten die Dateien gründlich – mit eindeutigem Ergebnis: Es handelte sich tatsächlich um gefährliche Schadsoftware. Konkret entdeckten sie zwei Bedrohungen:
- Eine Backdoor, die potenziellen Fernzugriff ermöglichte
- Eine Malware, die gezielt auf Kryptowährungsdiebstahl ausgerichtet war
Ursprung der Infektion waren offenbar nicht die Procolored-Druckertreiber selbst, sondern unerwünschte “blinde Passagiere”, die sich im Installationspaket verbargen.
Hersteller reagierte spät, aber dann konsequent
Besonders brisant: Hinweise von Kunden, deren Sicherheitssoftware die Dateien blockierte, wurden vom Hersteller zunächst ignoriert. Erst auf Druck der Fachleute reagierte Procolored und entfernte sämtliche Downloads von der Webseite – sechs Monate nach erstmaligem Auftreten der Probleme.
Procolored vermutet, dass die Malware über einen USB-Stick in das System gelangte, als die Software ursprünglich auf das Downloadportal übertragen wurde. Eine alternative Erklärung, wonach die chinesische Sprache der Software zu Fehlalarmen führen könne, halten die Experten von G DATA für wenig plausibel.
„Besonders besorgniserregend: Da der Hersteller die Information herausgegeben hat, dass es sich um Fehlerkennungen handelt, dürften viele Kunden in ihrem Malwareschutz eine Ausnahme für die Dateien konfiguriert haben“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Wer derzeit Software von Procolored einsetzt, sollte daher dringend prüfen, ob hier im Malwareschutz Ausnahmen dafür gesetzt sind (für Prozesse, Dateien oder Ordner) und diese Ausnahmen entfernen. Sofern eine aktuellere Version der Procolored-Software zur Verfügung steht, sollte diese installiert werden.“
Was Nutzer jetzt wissen sollten
Inzwischen wurde eine virenfreie Version der Druckersoftware bereitgestellt und an G DATA zur Prüfung übermittelt – mit negativem Befund. Dennoch raten Experten zur Vorsicht:
- Nur offizielle Quellen nutzen
- Virenscanner aktuell halten
- Misstrauisch bleiben bei ungewöhnlichen Warnungen
Der Fall zeigt deutlich, wie wichtig es ist, dass auch Hersteller ihre Verteilkanäle streng kontrollieren. Procolored will seine Sicherheitsmaßnahmen künftig verschärfen – zu spät für viele Kunden, aber hoffentlich rechtzeitig für die Zukunft.
Weitere Informationen:
Alle Details zu den gefundenen Schadprogrammen sind im Blogbeitrag von Principal Malware Researcher Karsten Hahn nachzulesen (Artikel in englischer Sprache).
(vp/G DATA CyberDefense AG)
