Security Alert: G DATA warnt vor Druckertreibern von Procolored mit Schadsoftware

Es begann mit einem Produkttest. Als der Betreiber des Youtube-Kanals „Serial Hobbyism” für einen Bericht über einen Spezialdrucker von Procolored den USB-Stick mit der Druckersoftware einsteckte, warnte die Antiviren-Software vor Malware. Als das Unternehmen auf Nachfrage versicherte, dass es sich um Fehlalarme handelte, suchte er auf Reddit einen professionellen Malware-Analysten, um die Dateien prüfen zu lassen. Fachleute von G DATA haben die Dateien eingehend geprüft. Der Hersteller, der unter anderem auf Textil-Drucker spezialisiert ist, hat die fraglichen Dateien inzwischen von der Webseite entfernt.

Das Problem war jedoch nicht die Druckersoftware selbst, sondern einige „blinde Passagiere“, die zusammen mit Treibern und Co. ausgeliefert wurden. Eine Backdoor, die inzwischen verwaist ist, sowie ein auf den Diebstahl von Kryptowährungen spezialisierter Virus waren zweifelsfrei nachweisbar. Wie viele Kunden sich die infizierten Installationsdateien heruntergeladen haben, ist unklar – doch es dürfte sich aufgrund der Zeitspanne, die die Dateien verfügbar waren, um eine größere Anzahl handeln.

„Besonders besorgniserregend: Da der Hersteller die Information herausgegeben hat, dass es sich um Fehlerkennungen handelt, dürften viele Kunden in ihrem Malwareschutz eine Ausnahme für die Dateien konfiguriert haben“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Wer derzeit Software von Procolored einsetzt, sollte daher dringend prüfen, ob hier im Malwareschutz Ausnahmen dafür gesetzt sind (für Prozesse, Dateien oder Ordner) und diese Ausnahmen entfernen. Sofern eine aktuellere Version der Procolored-Software zur Verfügung steht, sollte diese installiert werden.“

Beim Herunterladen von Software jeglicher Art raten Expertinnen und Experten seit Jahren immer zur Nutzung offizieller Quellen wie etwa Herstellerwebseiten oder eingebaute Updatefunktionen. Beispiele wie dieses zeigen jedoch, dass Hersteller in der Pflicht sind, ihre Update-Wege abzusichern. Das hat in diesem Fall offenkundig nicht stattgefunden. Über die Gründe dafür lässt sich spekulieren – aber potenziell hat hier das vollständige Fehlen einer Prüfung zu der Situation geführt.

Die Analysten von G DATA CyberDefense haben den Hersteller direkt kontaktiert und über ihre Erkenntnisse informiert. Dieser hat innerhalb weniger Stunden geantwortet und räumt ein, dass die Druckersoftware ursprünglich über einen USB-Stick übertragen wurde, und dass damit die Möglichkeit bestünde, dass Schadsoftware auf diesem Weg in den Downloadbereich gelangt sein könnte. Gleichzeitig schreibt der Support des Herstellers, dass die Erkennungen auch dadurch zustande kommen könnten, dass die Default-Sprache der Software Chinesisch sei und dies auf Systemen zu Problemen führen könne, wenn „diese nicht gut mit Programmen zurechtkommen, wenn diese eine andere Standardsprache als Englisch haben".

Gerade letztere Aussage halten die Fachleute bei G DATA jedoch für unrealistisch.

Procolored schreibt weiter, man habe vorsichtshalber alle Downloads von der Webseite entfernt und werde diese erst "nach einer eingehenden Virenprüfung" wieder zum Download bereitstellen. Nutzer werden gebeten, die aktuellste Software ausschließlich aus den offiziellen Quellen zu beziehen. Procolored hat G DATA die aktuelle Version der Drucker-Software zur Überprüfung übersendet. Die übersendete und getestete Version war virenfrei.

Alle Details zu den gefundenen Schadprogrammen sind im Blogbeitrag von Principal Malware Researcher Karsten Hahn nachzulesen (Artikel in englischer Sprache; Link öffnet sich in einem neuen Fenster)