Хакеры взломали форум IObit для распространения вымогательского ПО

19 января 2021 года

Компания IObit стала жертвой масштабной кибератаки с целью распространения вымогательского ПО DeroHE среди участников ее форума.

IObit — разработчик программного обеспечения, известный своими программами по оптимизации системы Windows и защитой от вредоносных программ, такими как Advanced SystemCare.

Как сообщило издание BleepingComputer, участники форума IObit начали получать электронные письма, якобы отправленные от IObit, в которых предлагалась бесплатная годовая лицензия на программное обеспечение в качестве особого преимущества участия в форуме. В электронном письме была ссылка «ПОЛУЧИТЬ СЕЙЧАС», перенаправляющая на сайт (hxxps: //forums.iobit.com/promo.html), который в ходе атаки распространял вредоносный файл.

Zip-архив содержит файлы с цифровой подписью легитимной программы IObit License Manager, но с неподписанной вредоносной версией IObitUnlocker.dll. При запуске IObit License Manager.exe будет запущена вредоносная программа IObitUnlocker.dll для установки вымогателя DeroHE в C:\Program Files(x86)\IObit\iobit.dll и его выполнения.

Поскольку большинство исполняемых файлов подписано сертификатом IOBit, а zip-файл был размещен на сайте компании, пользователи устанавливали программу-вымогатель, думая, что это легитимное предложение.

При первом запуске программа-вымогатель добавляет автозапуск Windows с именем «IObit License Manager», который запускает команду «rundll32 «C:\Program Files(x86)\IObit\iobit.dll, DllEntry» при входе в систему.

Вымогательское ПО добавляет исключения Защитника Windows, позволяющие запускать вредоносную DLL-библиотеку. Затем оно отображает окно сообщения, якобы отправленное от IObit License Manager: «Подождите. Это может занять немного больше времени, чем ожидалось. Не выключайте компьютер или включите экран!»

Вредонос добавляет расширение.DeroHE к зашифрованным файлам. Каждый зашифрованный файл также имеет строку информации, добавленную в конец файла. Программа-вымогатель может использовать эту информацию для расшифровки файлов в случае уплаты выкупа.

На рабочем столе Windows DeroHE создает два файла с именем FILES_ENCRYPTED.html, содержащие список всех зашифрованных файлов и записку с требованием выкупа READ_TO_DECRYPT.html. Записка называется «Dero Homomorphic Encryption» и рекламирует криптовалюту под названием DERO. Жертве предлагается отправить 200 монет на сумму около $100 по указанному адресу, чтобы возобновить доступ к файлам.

Любопытно, что злоумышленники обвиняют в компрометации компьютерных систем саму компанию IObit. Они предлагают жертвам сообщить компании, чтобы та отправила $100 тыс. в монетах DERO для расшифровки всех зараженных устройств.

	 В настоящее время неизвестно, как именно злоумышленникам удалось скомпрометировать сайт. Не исключено, что для создания поддельной рекламной страницы и размещения вредоносной загрузки, атакующие взломали форум IObit и получили доступ к учетной записи администратора.