Ο developer βοηθητικών προγραμμάτων των Windows IObit, χακαρίστηκε το Σαββατοκύριακο για να εκτελεστεί μια εκτεταμένη επίθεση που είχε ως στόχο την διανομή του ransomware DeroHE στα μέλη του φόρουμ του.
Το IΟbit είναι software developer γνωστός για τη βελτιστοποίηση του συστήματος των Windows και των προγραμμάτων anti-malware, όπως το Advanced SystemCare.
Κατά τη διάρκεια του Σαββατοκύριακου, τα μέλη του φόρουμ του IObit άρχισαν να λαμβάνουν emails που ισχυρίζονταν ότι προέρχονται από το IΟbit, δηλώνοντας ότι δικαιούνται μια δωρεάν άδεια 1 έτους για το software τους ως ειδικό πλεονέκτημα της συμμετοχής τους στο φόρουμ.
Στο email περιλαμβάνεται ένας σύνδεσμος «GET IT NOW» που ανακατευθύνει τους χρήστες στο hxxps: //forums.iοbit.com/promo.html. Αυτή η σελίδα δεν υπάρχει πλέον, αλλά τη στιγμή της επίθεσης, διένεμε ένα αρχείο στη διεύθυνση hxxps: //forums.iobit.com/free-iοbit-license-promo.zip.
Αυτό το αρχείο zip [VirusTotal] περιέχει ψηφιακά υπογεγραμμένα αρχεία από το νόμιμο πρόγραμμα IΟbit License Manager, αλλά το IΟbitUnlocker.dll έχει αντικατασταθεί με μια μη υπογεγραμμένη κακόβουλη έκδοση που φαίνεται παρακάτω.
Όταν εκτελείται το IObit License Manager.exe, το κακόβουλο IObitUnlocker.dll τρέχει για να εγκαταστήσει το DeroHE ransomware στο C:\Program Files (x86)\IΟbit\iοbit.dll [VirusTotal] και να το εκτελέσει.
Καθώς τα περισσότερα εκτελέσιμα υπογράφονται με το πιστοποιητικό του IOBit και το αρχείο zip φιλοξενήθηκε στον ιστότοπο του, οι χρήστες εγκατέστησαν το ransomware θεωρώντας ότι ήταν ένα promotion της εταιρείας.
Με βάση τις αναφορές στο φόρουμ του IObit και σε άλλα φόρουμ [1, 2], αυτή είναι μια εκτεταμένη επίθεση που στοχεύει όλα τα μέλη του φόρουμ.
Πηγή πληροφοριών: bleepingcomputer.com
