信息化觀察網(wǎng)

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

我們會有自己的貓新聞5小時前發(fā)布收藏

導(dǎo)語：上周末，IObit遭到了黑客的一次大范圍的攻擊，一種奇怪的勒索軟件DeroHE在此次攻擊中被傳播給了該論壇成員。

上周末，Windows實用程序開發(fā)軟件IObit遭到了黑客的一次大范圍的攻擊，一種奇怪的勒索軟件DeroHE在此次攻擊中被傳播給了該論壇成員。

IObit是一個軟件開發(fā)軟件，以Windows系統(tǒng)優(yōu)化和反惡意軟件程序（例如Advanced SystemCare）而聞名。

上周末，IObit論壇成員開始收到聲稱來自IObit的電子郵件，稱他們有權(quán)免費獲得一年的軟件許可證，這是成為論壇成員的一項特殊待遇。

電子郵件中包含一個“立即獲取”鏈接，該鏈接重定向到hxxps：//forums.iobit.com/promo.html。此頁面已不再存在，但是在受到攻擊時，它正在hxxps：//forums.iobit.com/free-iobit-license-promo.zip分發(fā)文件。

該壓縮文件[VirusTotal]包含來自合法IObit License Manager程序的數(shù)字簽名文件，但IObitUnlocker.dll被替換為如下所示的未簽名的惡意版本。

當IObit License Manager.exe運行時，將執(zhí)行惡意的IObitUnlocker.dll，從而將DeroHE勒索軟件安裝到C:Program Files(x86)IObitiobit.dll[VirusTotal]并執(zhí)行它。

由于大多數(shù)可執(zhí)行文件都使用IOBit的證書簽名，并且zip文件托管在其站點上，因此用戶在安裝勒索軟件時都會認為這是合法的促銷活動。

根據(jù)IOBIT論壇和其他論壇的報告，這是一次針對所有論壇成員的廣泛攻擊。

DeroHE勒索軟件

此后，BleepingComputer分析了勒索軟件，以說明在受害者計算機上執(zhí)行時會發(fā)生什么。

首次啟動時，勒索軟件將添加一個名為"IObit License Manager"的Windows自動運行程序，該程序?qū)⒃诘卿沇indows時啟動"rundll32"C:Program Files(x86)IObitiobit.dll",DllEntry"命令。

Emsisoft分析師Elise van Dorp（之前也分析了勒索軟件）表示，勒索軟件添加了以下Windows Defender排除項，以允許DLL運行。

 WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="

 WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="Temp\"

 WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionExtension=".dll"

 WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionProcess="rundll32.exe"

勒索軟件現(xiàn)在將顯示一個消息框，顯示這是IObit License Manager發(fā)出的消息，上面寫著：“請稍等。它可能需要比預(yù)期更長的時間。請保持計算機運行或打開屏幕！”勒索軟件會顯示此警報，以防止受害者在勒索軟件完成之前關(guān)閉其設(shè)備。

在加密受害者時，它會將.DeroHE擴展名附加到加密文件中。

每個加密文件還將在文件末尾附加一個信息字符串，如下所示。如果支付了贖金，勒索軟件可能會使用此信息來解密文件。

{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}

在Windows桌面上，DeroHE勒索軟件將創(chuàng)建兩個名為FILES_ENCRYPTED.html的文件，其中包含所有加密文件的列表以及READ_TO_DECRYPT.html贖金單。

贖金票據(jù)的標題為“Dero同態(tài)加密”，并推廣了一種稱為DERO的加密貨幣。這張票據(jù)告訴受害者將200個硬幣（價值約100美元）發(fā)送到所列地址，以獲取解密器。

勒索單上附有勒索軟件的Tor地址，http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.com，可用于付款。

特別有趣的是，Tor網(wǎng)站指出，IObit可以發(fā)送10萬美元的DERO硬幣來解密所有受害者，因為攻擊者認為這都要歸咎于IObit。

“告知iobit.com向我們發(fā)送100000（十萬）枚DERO硬幣到這個地址。

dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu”

DeroHE Tor付款網(wǎng)站指出：“付款到帳后，所有加密的計算機（包括您的計算機）都將被解密。您的計算機受到感染都要歸咎于IOBIT。”

目前正在分析勒索軟件的弱點，尚不清楚是否可以免費解密。

此外，還不清楚威脅者是否會如愿以償，并在付款后提供解密器。

IObit論壇可能已受到威脅

為了創(chuàng)建虛假的推廣頁面并進行惡意下載，攻擊者可能會入侵IObit的論壇并獲得對管理帳戶的訪問權(quán)限。

這時，論壇似乎仍然受到威脅，就像您訪問丟失的頁面并返回404錯誤代碼一樣，該網(wǎng)頁將顯示用于訂閱瀏覽器通知的對話框。訂閱后，您的瀏覽器將開始收到桌面通知，宣傳成人網(wǎng)站、惡意軟件和其他有害內(nèi)容。

此外，如果您單擊頁面上的任意位置，將打開一個新標簽，顯示成人網(wǎng)站的廣告。其他網(wǎng)頁部分似乎也受到了攻擊，因為單擊論壇鏈接會將您重定向到相似的成人頁面。

攻擊者通過在所有未找到的頁面上注入惡意腳本來破壞論壇，如下所示。

BleepingComputer向IObit提出了與這次攻擊有關(guān)的問題，但沒有得到回復(fù)。

本文翻譯自：https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-to-spread-ransomware-to-its-members/