Το forum της εταιρείας IOBit παραβιάστηκε το Σαββατοκύριακο. Ο στόχος του hack ήταν να διανείμει το DeroHE ransomware σε επισκέπτες του forum.
Δεν είμαι σίγουρος αν υπάρχουν άτομα που επηρεάζονται από τους αναγνώστες του iGuRu.gr, καθώς η IOBit δεν είναι (τουλάχιστον για μένα) και τόσο αξιόλογη εταιρεία.
Κι αυτό επειδή η IOBit προσφέρει εργαλεία για τον καθαρισμό και τη βελτιστοποίηση συστημάτων με Windows, καθαριστές μητρώου, ή προγράμματα καθαρισμού κακόβουλου λογισμικού. Εργαλεία των Windows δηλαδή, τα οποία είναι συνήθως περιττά, και σε ορισμένες περιπτώσεις ακόμη και επιβλαβή.
Υπάρχουν όμως και χρήστες που αγαπούν τα εργαλεία της IOBit.
Κατά τη διάρκεια του Σαββατοκύριακου λοιπόν, οι χρήστες του forum της IOBit δέχτηκαν ένα υποτιθέμενο ειδικό email. Τα μέλη του forum έλαβαν μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυρίζονταν ότι προερχόταν από την IObit. Τα email πρόσφεραν δωρεάν άδειες 1 έτους για το λογισμικό τους σαν ειδικό προνόμιο για τη συμμετοχή τους στο φόρουμ. Φυσικά τα emails ήταν δόλωμα.
Όποιος έκανε κλικ στο κουμπί Λήψη τώρα από το υποτιθέμενο μήνυμα της IOBit μεταφερόταν αυτόματα στη διεύθυνση:
hxxps: //forums.iobit.com/promo.html
Από την παραπάνω διεύθυνση τα θύματα μπορούσαν να κατεβάσουν το free-iobit-license-promo.zip.
Το zip περιείχε ψηφιακά υπογεγραμμένα αρχεία του νόμιμου προγράμματος IObit License Manager. Ωστόσο, οι εισβολείς είχαν αντικαταστήσει το αρχείο IObitUnlocker.dll με μια υπογεγραμμένη κακόβουλη εφαρμογή. Το Virustotal την αναγνώριζε σαν trojan. Αυτό το αρχείο μετά κατέβαζε το DeroHE ransomware στον υπολογιστή του θύματος.
Λίγες ώρες αργότερα, το σύστημα των θυμάτων είχε κρυπτογραφηθεί με το ransomware DeroHE και εμφάνιζε μια ωραία ειδοποίηση που απαιτούσε 200 Crypto-Coins (περίπου 100$ ΗΠΑ) για την αποκρυπτογράφηση. Το Bleeping Computer ανέλυσε λίγο περισσότερο το κακόβουλο λογισμικό και περιγράφει καλύτερα τον τρόπο λειτουργίας του.