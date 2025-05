Um fabricante de impressoras lançou inadvertidamente drivers falsos e infetados, usados para espalhar pelo menos duas ameaças de malware.

Drivers infetados: vetores discretos de infeção

O malware XRed está de volta e a espalhar-se — em particular através da transferência de drivers da marca de impressoras Procolored. Ao mesmo tempo, cibercriminosos sequestraram carteiras de criptomoedas.

Especialistas da GData Software dizem ter detetado um novo malware. Eles foram contactados por um YouTuber que pretendia testar uma impressora UV da Procolored.

Após descarregar os drivers, o antivírus emitiu um alerta. Os componentes de software listados no site do fabricante apontavam para o serviço de armazenamento Mega.nz.

O fabricante disponibiliza drivers para vários modelos no seu site: F8, F13, F13 Pro, V6, V11 Pro e VF13 Pro. De acordo com os especialistas, um total de 8 GB de ficheiros está alojado no Mega.nz. Mas a análise antivírus não traz boas notícias.

Segundo a GData:

A maioria dos ficheiros foi atualizada pela última vez em outubro de 2024. Uma verificação antivírus revelou assinaturas suspeitas em 39 ficheiros, incluindo 20 com impressões digitais únicas. Dois nomes de deteção destacam-se entre esses 20 ficheiros:

Win32.Backdoor.XRedRAT.A

MSIL.Trojan-Stealer.CoinStealer.H”

Como os nomes sugerem, o primeiro é um backdoor, enquanto o segundo é um trojan concebido especificamente para roubar carteiras de criptomoedas ou substituir endereços copiados para a área de transferência por outros controlados pelo atacante.

O backdoor XRed já havia sido identificado anteriormente pela empresa de segurança eSentire, em fevereiro de 2024.

Ao analisar o código do ladrão de criptomoedas, a GData conseguiu identificar o endereço do destinatário para o qual os fundos roubados estavam a ser enviados — que já teria recebido 9,3 BTC.

As impressoras Procolored — mais voltadas para profissionais da impressão, ateliers de criação artística ou empresas — estão atualmente disponíveis em Portugal, por exemplo, via Amazon.

Segundo os dados recolhidos pela GData, o software distribuído com estas impressoras permaneceu infetado durante seis meses, de outubro de 2024 a maio de 2025.