IObit論壇遭黑客入侵并向其成員傳播勒索軟件
我們會有自己的貓新聞5小時前發(fā)布收藏
導語:上周末,IObit遭到了黑客的一次大范圍的攻擊,一種奇怪的勒索軟件DeroHE在此次攻擊中被傳播給了該論壇成員。
上周末,Windows實用程序開發(fā)軟件IObit遭到了黑客的一次大范圍的攻擊,一種奇怪的勒索軟件DeroHE在此次攻擊中被傳播給了該論壇成員。
IObit是一個軟件開發(fā)軟件,以Windows系統(tǒng)優(yōu)化和反惡意軟件程序(例如Advanced SystemCare)而聞名。
上周末,IObit論壇成員開始收到聲稱來自IObit的電子郵件,稱他們有權(quán)免費獲得一年的軟件許可證,這是成為論壇成員的一項特殊待遇。
電子郵件中包含一個“立即獲取”鏈接,該鏈接重定向到hxxps://forums.iobit.com/promo.html。此頁面已不再存在,但是在受到攻擊時,它正在hxxps://forums.iobit.com/free-iobit-license-promo.zip分發(fā)文件。
該壓縮文件[VirusTotal]包含來自合法IObit License Manager程序的數(shù)字簽名文件,但IObitUnlocker.dll被替換為如下所示的未簽名的惡意版本。
當IObit License Manager.exe運行時,將執(zhí)行惡意的IObitUnlocker.dll,從而將DeroHE勒索軟件安裝到C:Program Files(x86)IObitiobit.dll[VirusTotal]并執(zhí)行它。
由于大多數(shù)可執(zhí)行文件都使用IOBit的證書簽名,并且zip文件托管在其站點上,因此用戶在安裝勒索軟件時都會認為這是合法的促銷活動。
根據(jù)IOBIT論壇和其他論壇的報告,這是一次針對所有論壇成員的廣泛攻擊。
DeroHE勒索軟件
此后,BleepingComputer分析了勒索軟件,以說明在受害者計算機上執(zhí)行時會發(fā)生什么。
首次啟動時,勒索軟件將添加一個名為"IObit License Manager"的Windows自動運行程序,該程序?qū)⒃诘卿沇indows時啟動"rundll32"C:Program Files(x86)IObitiobit.dll",DllEntry"命令。
Emsisoft分析師Elise van Dorp(之前也分析了勒索軟件)表示,勒索軟件添加了以下Windows Defender排除項,以允許DLL運行。
WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="
WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionPath="Temp\"
WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionExtension=".dll"
WMIC/Namespace:\rootMicrosoftWindowsDefender class MSFT_MpPreference call Add ExclusionProcess="rundll32.exe"
勒索軟件現(xiàn)在將顯示一個消息框,顯示這是IObit License Manager發(fā)出的消息,上面寫著:“請稍等。它可能需要比預期更長的時間。請保持計算機運行或打開屏幕!”勒索軟件會顯示此警報,以防止受害者在勒索軟件完成之前關(guān)閉其設(shè)備。
在加密受害者時,它會將.DeroHE擴展名附加到加密文件中。
每個加密文件還將在文件末尾附加一個信息字符串,如下所示。如果支付了贖金,勒索軟件可能會使用此信息來解密文件。
{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}
在Windows桌面上,DeroHE勒索軟件將創(chuàng)建兩個名為FILES_ENCRYPTED.html的文件,其中包含所有加密文件的列表以及READ_TO_DECRYPT.html贖金單。
贖金票據(jù)的標題為“Dero同態(tài)加密”,并推廣了一種稱為DERO的加密貨幣。這張票據(jù)告訴受害者將200個硬幣(價值約100美元)發(fā)送到所列地址,以獲取解密器。
勒索單上附有勒索軟件的Tor地址,http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.com,可用于付款。
特別有趣的是,Tor網(wǎng)站指出,IObit可以發(fā)送10萬美元的DERO硬幣來解密所有受害者,因為攻擊者認為這都要歸咎于IObit。
“告知iobit.com向我們發(fā)送100000(十萬)枚DERO硬幣到這個地址。
dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu”
DeroHE Tor付款網(wǎng)站指出:“付款到帳后,所有加密的計算機(包括您的計算機)都將被解密。您的計算機受到感染都要歸咎于IOBIT。”
目前正在分析勒索軟件的弱點,尚不清楚是否可以免費解密。
此外,還不清楚威脅者是否會如愿以償,并在付款后提供解密器。
IObit論壇可能已受到威脅
為了創(chuàng)建虛假的推廣頁面并進行惡意下載,攻擊者可能會入侵IObit的論壇并獲得對管理帳戶的訪問權(quán)限。
這時,論壇似乎仍然受到威脅,就像您訪問丟失的頁面并返回404錯誤代碼一樣,該網(wǎng)頁將顯示用于訂閱瀏覽器通知的對話框。訂閱后,您的瀏覽器將開始收到桌面通知,宣傳成人網(wǎng)站、惡意軟件和其他有害內(nèi)容。
此外,如果您單擊頁面上的任意位置,將打開一個新標簽,顯示成人網(wǎng)站的廣告。其他網(wǎng)頁部分似乎也受到了攻擊,因為單擊論壇鏈接會將您重定向到相似的成人頁面。
攻擊者通過在所有未找到的頁面上注入惡意腳本來破壞論壇,如下所示。
BleepingComputer向IObit提出了與這次攻擊有關(guān)的問題,但沒有得到回復。
本文翻譯自:https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-to-spread-ransomware-to-its-members/