Le fabricant d'imprimantes Procolored a mis à disposition malgré lui de faux pilotes vérolés servant à propager au moins deux malwares.

Ces imprimantes étaient livrées avec un malware pendant 6 mois ©Shutterstock
Ces imprimantes étaient livrées avec un malware pendant 6 mois ©Shutterstock

Le malware XRed fait son retour et se propage notamment via le téléchargement de drivers pour la marque d'imprimantes Procolored. En parallèle, les cybercriminels ont détourné des portefeuilles crypto.

Des pilotes infectés, vecteurs d’infection discrets

Les experts de GData Software expliquent avoir repéré un nouveau malware. Ces derniers ont été contactés par un YouTuber ayant voulu tester l'imprimante Procolored UV. Il a reçu une alerte de son antivirus après avoir téléchargé les pilotes de cette dernière. Les composants logiciels répertoriés sur le site du fabricant pointent vers le service de stockage en ligne Mega.

Le fabricant propose sur son site des pilotes pour plusieurs de ses modèles : F8, F13, F13 Pro, V6, V11 Pro et VF13 Pro. Selon les experts, au total, 8 Go de fichiers sont hébergés sur Mega.nz. Or un scan antivirus n'annonce rien de bon. Selon GData :

"La plupart des fichiers ont été mis à jour pour la dernière fois en octobre 2024, (….). Un scan antivirus révèle des correspondances de signatures pour 39 fichiers, dont 20 avec des empreintes uniques. Deux noms de détection ressortent pour ces 20 fichiers :
Win32.Backdoor.XRedRAT.A
MSIL.Trojan-Stealer.CoinStealer.H"

Les téléchargements de drivers sur Mega.nz ©G Data
Les téléchargements de drivers sur Mega.nz ©G Data

Comme son nom l'indique, le premier est une porte dérobée tandis que le second est un malware spécialement conçu pour exfiltrer les portefeuilles de cryptomonnaie ou remplacer les adresses dans le presse-papiers par celle de l’attaquant.

La porte dérobée XRed avait précédemment été identifiée par le cabinet de sécurité xSentire en février 2024. En analysant le code sur stealer, GData a pu identifier l'adresse du destinataire vers laquelle les fonds volés sont envoyés. Cette dernière aurait déjà reçu 9.3 BTC.

Davantage réservées aux professionnels de l'impression, aux ateliers de créations artistiques ou aux entreprises, les imprimantes Procolored sont actuellement disponibles en France - sur Amazon par exemple. À en juger par les données recueillies par GData, les logiciels fournis sont restés vérolés six mois, d'octobre 2024 à mai 2025.