Форумы IObit взломаны в результате масштабной атаки

На выходных IObit, разработчик утилиты для Windows, был взломан с целью проведения широкомасштабной атаки с целью распространения странного вымогателя DeroHE среди участников форума.

IObit — разработчик программного обеспечения, известный своими программами по оптимизации системы Windows и защитой от вредоносных программ, такими как Advanced SystemCare.

В минувшие выходные участники форума IObit начали получать электронные письма, утверждающие, что они были от IObit, в которых говорилось, что они имеют право на бесплатную годовую лицензию на свое программное обеспечение в качестве особого преимущества участия в форуме.

Электронное письмо IObit Promo
Электронное письмо IObit ‘Promo’

В электронном письме есть ссылка «ПОЛУЧИТЬ СЕЙЧАС», которая перенаправляет на hxxps: //forums.iobit.com/promo.html. Эта страница больше не существует, но во время атаки она распространяла файл по адресу hxxps: //forums.iobit.com/free-iobit-license-promo.zip.

Этот zip-файл [ VirusTotal ] содержит файлы с цифровой подписью из законной программы IObit License Manager, но с заменой IObitUnlocker.dll неподписанной вредоносной версией, показанной ниже.

Вредоносная DLL-библиотека IObitUnlocker.dll
Вредоносная библиотека DLL IObitUnlocker.dll
Источник: BleepingComputer

При запуске IObit License Manager.exe будет запущен вредоносный IObitUnlocker.dll для установки вымогателя DeroHE в C: \ Program Files (x86) \ IObit \ iobit.dll [ VirusTotal ] и его выполнения.

Поскольку большинство исполняемых файлов подписано сертификатом IOBit, а zip-файл был размещен на их сайте,  пользователи устанавливали программу-вымогатель,  думая, что это законная реклама.

Судя по сообщениям на форуме IObit и других форумах [ 1 , 2 ], это широко распространенная атака, нацеленная на всех участников форума.

Подробнее о программе-вымогателе DeroHE

С тех пор BleepingComputer проанализировал программу-вымогатель, чтобы проиллюстрировать, что происходит при запуске на компьютере жертвы.

При первом запуске программа-вымогатель добавит автозапуск Windows с именем «IObit License Manager», который запускает команду «rundll32» C: \ Program Files (x86) \ IObit \ iobit.dll, DllEntry »при входе в Windows.

Аналитик Emsisoft  Элиз ван Дорп , которая также проанализировала программу-вымогатель, заявила, что программа-вымогатель добавляет следующие исключения Защитника Windows, позволяющие запускать DLL.

@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

Теперь программа-вымогатель отобразит окно сообщения, в котором якобы отправлено IObit License Manager: «Подождите. Это может занять немного больше времени, чем ожидалось. Не выключайте компьютер или включите экран! Программа-вымогатель показывает это предупреждение, чтобы жертвы не отключили свои устройства до завершения работы программы-вымогателя.

Поддельное оповещение, чтобы не выключать компьютер
Поддельное оповещение о том, что компьютер нельзя выключать.
Источник: BleepingComputer.

При шифровании жертв он будет добавлять расширение .DeroHE к зашифрованным файлам.

Файлы, зашифрованные вымогателем DeroHE
Файлы, зашифрованные вымогателем DeroHE.
Источник: BleepingComputer.

Каждый зашифрованный файл также будет иметь строку информации, добавленную в конец файла, как показано ниже. Программа-вымогатель может использовать эту информацию для расшифровки файлов в случае уплаты выкупа.

{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}
Шестнадцатеричное редактирование зашифрованного файла
Шестнадцатеричное редактирование зашифрованного файла
Источник: BleepingComputer

На рабочем столе Windows программа-вымогатель DeroHE создаст два файла с именем FILES_ENCRYPTED.html, содержащие список всех зашифрованных файлов, и записку о выкупе READ_TO_DECRYPT.html.

Записка с требованием выкупа имеет название «Dero Homomorphic Encryption» и продвигает криптовалюту под названием DERO. В этой записке жертве предлагается отправить 200 монет на сумму около 100 долларов по указанному адресу, чтобы получить дешифратор.

Записка о выкупе DeroHE
Заметка о вымогательстве DeroHE
Источник: BleepingComputer

К записке с требованием выкупа прилагается сайт Tor программы-вымогателя http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onion, который можно использовать для оплаты.

Особый интерес представляет то, что сайт Tor заявляет, что IObit может отправить 100 000 долларов в монетах DERO для расшифровки всех жертв, поскольку злоумышленники обвиняют IObit в компрометации.

«Скажите iobit.com, чтобы он отправил нам 100000 (1 сотню тысяч) монет DERO на этот адрес.

«После получения платежа весь зашифрованный компьютер (включая ваш) будет расшифрован. ЭТО ОШИБКА IOBIT заставила ваш компьютер заразиться», — говорится на сайте оплаты DeroHE Tor.

Платежный сайт Dero Ransomware Tor
Платежный сайт Dero Ransomware Tor
Источник: BleepingComputer

Программа-вымогатель анализируется на наличие слабых мест, и неизвестно, можно ли ее бесплатно расшифровать.

Кроме того, неизвестно, сдержат ли злоумышленники свое слово и предоставят дешифратор в случае оплаты.

Форумы IObit, вероятно, скомпрометированы

Чтобы создать поддельную рекламную страницу и разместить вредоносную загрузку, злоумышленники, вероятно, взломали форум IObit и получили доступ к учетной записи администратора.

В настоящее время форумы все еще кажутся скомпрометированными, как если бы вы посещали отсутствующие страницы, которые возвращают код ошибки 404, веб-страница будет отображать диалоговые окна для подписки на уведомления браузера. После подписки ваш браузер начнет получать уведомления на рабочем столе, рекламирующие сайты для взрослых, вредоносное программное обеспечение и другой нежелательный контент.

Взломанная страница форума IObit

Взломанная страница форума IObit Источник: BleepingComputer

Кроме того, если вы щелкните в любом месте страницы, откроется новая вкладка, показывающая рекламу сайтов для взрослых. Другие разделы сайта также кажутся скомпрометированными, поскольку нажатие на ссылки форума перенаправляет вас на аналогичные страницы для взрослых.

Злоумышленники взломали форум, внедрив вредоносный скрипт на все страницы, которые не были найдены, как показано ниже.

Взломанная страница форума IObit

Взломанная страница форума IObit Источник: BleepingComputer

BleepingComputer обратился к IObit с вопросами, связанными с этой атакой, но не получил ответа.

www.bleepingcomputer.com