Alles begann mit einem eigentlich harmlosen Produkttest: Der YouTuber Cameron Coward wollte einen UV-Drucker von Procolored im Wert von 6000 Dollar testen und steckte den mitgelieferten USB-Stick in seinen Computer. Sein Antivirus-Programm schlug sofort Alarm und meldete einen USB-Virus sowie eine Floxif-Infektion. Floxif ist ein besonders aggressiver Dateischädling, der sich an ausführbare Dateien anhängt und sich über Netzwerke und Wechseldatenträger verbreitet. Procolored versicherte zunächst, es handele sich um Fehlalarme – doch Coward ließ nicht locker und suchte auf Reddit nach einem Malware-Experten.

Systematische Analyse der Download-Links

Ein professioneller Sicherheitsanalyst von G DATA untersuchte daraufhin sämtliche Software-Downloads auf Procoloreds Website. Software für sechs verschiedene Druckermodelle stand zum Download bereit – alle über Mega-Links mit insgesamt 8 GByte an Dateien und Archiven. Die meisten Dateien stammten aus dem Oktober 2024, also sechs Monate vor der Entdeckung. Ein Antivirus-Scan brachte erschreckende Ergebnisse hervor: 39 infizierte Dateien mit 20 unterschiedlichen Hash-Werten. Dabei tauchten hauptsächlich zwei Schädlingstypen auf: Win32.Backdoor.XRedRAT.A und MSIL.Trojan-Stealer.CoinStealer.H.

Die detaillierte Analyse einer Datei namens "PrintExp.exe" offenbarte eine bereits bekannte Bedrohung: die XRed-Backdoor, die seit 2019 existiert und bereits 2024 von Sicherheitsexperten analysiert wurde. Besonders bemerkenswert: Die Schadsoftware verwendete noch immer dieselben Download-URLs wie in der ursprünglichen Analyse – obwohl diese bereits seit Februar 2024 offline waren. Die Backdoor kann Screenshots erstellen, Dateien herunterladen, Tastatureingaben protokollieren und eine Kommandozeile bereitstellen. Nach Ausführung der schädlichen Funktionen startet sie das eigentliche, saubere Druckerprogramm.

SnipVex: Ein Clipbanker mit Virus-Eigenschaften

Noch interessanter war der zweite Schädling: ein selbstentwickelter Clipbanker namens SnipVex, der Bitcoin-Adressen in der Zwischenablage austauscht, um Kryptowährungstransaktionen zu stehlen. Das Besondere: SnipVex ist gleichzeitig ein Dateivirus, der sich selbst an andere ausführbare Dateien anhängt und so verbreitet. Der Virus überwacht alle Laufwerke nach neuen EXE-Dateien und infiziert diese systematisch. Blockchain-Analysen zeigten, dass die Angreifer damit knapp eine Million Euro in Bitcoin erbeutet haben. Die massive Verbreitung in Procoloreds Downloads deutet darauf hin, dass SnipVex sich bereits auf den Entwicklungsrechnern oder Build-Servern des Unternehmens eingenistet hatte.

Procolored verwies zunächst auf einen möglichen Fehlalarm. Als die Beweislage jedoch eindeutig wurde, nahm das Unternehmen am 8. Mai 2025 alle Software-Downloads offline und startete eine interne Untersuchung. In einem offiziellen Statement erklärte Procolored, die Software sei ursprünglich über USB-Laufwerke übertragen worden, wodurch möglicherweise Viren eingeschleppt wurden. Das Unternehmen führt nun umfassende Malware-Scans durch und will die Software erst nach gründlicher Überprüfung wieder anbieten.

Empfehlungen für betroffene Nutzer

Sicherheitsexperten raten allen Procolored-Kunden, ihre Antivirus-Ausnahmelisten zu überprüfen und nach möglichen Infektionen zu suchen. Da es sich um etablierte Schadsoftware handelt, sollten aktuelle Antivirus-Programme die Bedrohung erkennen. Bei einer Infektion mit Dateischädlingen wie SnipVex empfehlen Experten als sicherste Lösung die Formatierung aller Laufwerke und Neuinstallation des Betriebssystems. Immerhin: Die XRed-Backdoor kann seit Februar 2024 keine Verbindung mehr zu ihren Kontrollservern aufbauen, wodurch zumindest diese Bedrohung inaktiv ist.

Die Malware-Analyse ergab konkrete technische Indikatoren für beide Schädlinge. Die XRed-Backdoor ist unter dem SHA256-Hash

• 531d08606455898408672d88513b8a1ac284fdf1fe011019770801b7b46d5434

zu identifizieren, während SnipVex den Hash

• 39df537aaefb0aa31019d053a61fabf93ba5f8f3934ad0d543cde6db1e8b35d1

aufweist. Der Clipbanker SnipVex nutzt die Bitcoin-Wallet-Adresse "1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj" für gestohlene Transaktionen und trägt sich über Registry-Einträge wie "ScdBcd" und "ClpBtcn" in die Autostart-Programme ein. Dabei legt er charakteristische Dateien wie "Dibifu_9\vshost32.exe", "Dibifu_9\IconExtractor.dll" und "Zgokr00.exe" an.

Insgesamt wurden 39 infizierte Dateien über sechs verschiedene Mega.nz-Download-Links verbreitet, die auf alle Druckermodelle von Procolored verteilt waren. Besonders betroffen waren die "PrintExp.exe"-Dateien in verschiedenen Versionen sowie Epson-Druckertreiber wie "epson-l800_drv_x64.exe". Die Dateipfade zeigen deutliche Anzeichen der Virusaktivität: Viele Dateien tragen das typische "cache"-Präfix oder wurden mehrfach infiziert, was sich in verschachtelten Ordnerstrukturen mit wiederholenden Namen niederschlägt.