Издание Bleeping Computer сообщает, что в минувшие выходные компания IObit, разрабатывающая различные утилиты для Windows, была скомпрометирована, а среди пользователей официального форума теперь распространяется шифровальщик DeroHE.
Проблему заметили, когда участники форума IObit стали получать электронные письма от лица компании, которые гласили, что в качестве подарка пользователи имеют право на бесплатную годовую лицензию на свое ПО.
Ссылка в письме, которая якобы вела на поучение бесплатной лицензии, на самом деле перенаправляла жертв на https://forums.iobit[.]com/promo.html. В настоявшее время эта страница уже не существует, но во время атаки она распространяла файл free-iobit-license-promo.zip (VirusTotal). Этот архив содержал файлы легитимной программы IObit License Manager с настоящей цифровой подписью, однако файл IObitUnlocker.dll был заменен неподписанной и вредоносной версией.
При запуске IObit License Manager.exe запускался и вредоносный IObitUnlocker.dll, а в итоге все это приводило к установке вымогателя DeroHE в C:\Program Files (x86)\IObit\iobit.dll (VirusTotal) и его выполнению.
Поскольку большинство исполняемых файлов было подписано сертификатом IOBit, а архив хостился на сайте компании, пользователи охотно устанавливали малварь, считая, что получили подарок от компании и не замечая подвоха. Судя по сообщениям на форуме IObit (1, 2), атака была нацелена на всех участников форума.
Журналисты Bleeping Computer изучили вымогателя, и пишут, что, судя по записке с требованием выкупа, озаглавленной «Dero Homomorphic Encryption», малварь продвигает криптовалюту DERO. За дешифровку файлов у жертв требуют 200 токенов на сумму около 100 долларов США.
Более того, в записке вымогателей есть ссылка на их onion-сайт (http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onion), где хакеры не только принимают оплату, но и предлагают компании IObit заплатить 100 000 DERO, чтобы расшифровать данные всех пользователей сразу. Хакеры заявляют, что все случившееся – вина IObit, и поэтому платить должна именно компания.
Bleeping Computer предполагает, что для реализации этой атаки злоумышленники, скорее всего, взломали форум IObit и получили доступ к учетной записи администратора. Хуже того, форумы компании все еще скомпрометированы и опасны. При их посещении возвращается ошибка 404, но также в браузере появляются диалоговые окна с предложением подписки на уведомления. Если согласиться на получение уведомлений, они действительно начнут приходить, и преимущественно это будет реклама сайтов для взрослых, малвари и другой нежелательный контент.
Кроме того, если кликнуть в любом месте страницы, откроется новая вкладка, тоже показывающая рекламу сайтов для взрослых. Другие разделы сайта, похоже, тоже скомпрометированы и тоже перенаправляют на порносайты.
Вредоносный скрипт, который хакеры внедрили на страницы сайта IObit, можно увидеть ниже.
Представители компании IObit пока никак не прокомментировали случившееся и не отвечают на запросы журналистов.
