IObit論壇遭黑客入侵并向其成員傳播勒索軟件

作者：我們會(huì)有自己的貓 2021-02-03 10:24:31

上周末，Windows實(shí)用程序開(kāi)發(fā)軟件IObit遭到了黑客的一次大范圍的攻擊，一種奇怪的勒索軟件DeroHE在此次攻擊中被傳播給了該論壇成員。

IObit是一個(gè)軟件開(kāi)發(fā)軟件，以Windows系統(tǒng)優(yōu)化和反惡意軟件程序(例如Advanced SystemCare)而聞名。

上周末，IObit論壇成員開(kāi)始收到聲稱(chēng)來(lái)自IObit的電子郵件，稱(chēng)他們有權(quán)免費(fèi)獲得一年的軟件許可證，這是成為論壇成員的一項(xiàng)特殊待遇。

電子郵件中包含一個(gè)“立即獲取”鏈接，該鏈接重定向到hxxps：//forums.iobit.com/promo.html。此頁(yè)面已不再存在，但是在受到攻擊時(shí)，它正在hxxps：//forums.iobit.com/free-iobit-license-promo.zip分發(fā)文件。

該壓縮文件[VirusTotal]包含來(lái)自合法IObit License Manager程序的數(shù)字簽名文件，但I(xiàn)ObitUnlocker.dll被替換為如下所示的未簽名的惡意版本。

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

當(dāng)IObit License Manager.exe運(yùn)行時(shí)，將執(zhí)行惡意的IObitUnlocker.dll，從而將DeroHE勒索軟件安裝到C:\Program Files (x86)\IObit\iobit.dll [VirusTotal]并執(zhí)行它。

由于大多數(shù)可執(zhí)行文件都使用IOBit的證書(shū)簽名，并且zip文件托管在其站點(diǎn)上，因此用戶(hù)在安裝勒索軟件時(shí)都會(huì)認(rèn)為這是合法的促銷(xiāo)活動(dòng)。

根據(jù)IOBIT論壇和其他論壇的報(bào)告，這是一次針對(duì)所有論壇成員的廣泛攻擊。

DeroHE勒索軟件

此后，BleepingComputer分析了勒索軟件，以說(shuō)明在受害者計(jì)算機(jī)上執(zhí)行時(shí)會(huì)發(fā)生什么。

首次啟動(dòng)時(shí)，勒索軟件將添加一個(gè)名為"IObit License Manager"的Windows自動(dòng)運(yùn)行程序，該程序?qū)⒃诘卿沇indows時(shí)啟動(dòng)"rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry"命令。

Emsisoft分析師Elise van Dorp(之前也分析了勒索軟件)表示，勒索軟件添加了以下Windows Defender排除項(xiàng)，以允許DLL運(yùn)行。

@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

勒索軟件現(xiàn)在將顯示一個(gè)消息框，顯示這是IObit License Manager發(fā)出的消息，上面寫(xiě)著：“請(qǐng)稍等。它可能需要比預(yù)期更長(zhǎng)的時(shí)間。請(qǐng)保持計(jì)算機(jī)運(yùn)行或打開(kāi)屏幕!”勒索軟件會(huì)顯示此警報(bào)，以防止受害者在勒索軟件完成之前關(guān)閉其設(shè)備。

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

在加密受害者時(shí)，它會(huì)將.DeroHE擴(kuò)展名附加到加密文件中。

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

每個(gè)加密文件還將在文件末尾附加一個(gè)信息字符串，如下所示。如果支付了贖金，勒索軟件可能會(huì)使用此信息來(lái)解密文件。

{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

在Windows桌面上，DeroHE勒索軟件將創(chuàng)建兩個(gè)名為FILES_ENCRYPTED.html的文件，其中包含所有加密文件的列表以及READ_TO_DECRYPT.html贖金單。

贖金票據(jù)的標(biāo)題為“ Dero同態(tài)加密”，并推廣了一種稱(chēng)為DERO的加密貨幣。這張票據(jù)告訴受害者將200個(gè)硬幣(價(jià)值約100美元)發(fā)送到所列地址，以獲取解密器。

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

勒索單上附有勒索軟件的Tor地址，http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.com，可用于付款。

特別有趣的是，Tor網(wǎng)站指出，IObit可以發(fā)送10萬(wàn)美元的DERO硬幣來(lái)解密所有受害者，因?yàn)楣粽哒J(rèn)為這都要?dú)w咎于IObit。

“告知iobit.com向我們發(fā)送100000(十萬(wàn))枚DERO硬幣到這個(gè)地址。

dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu”

DeroHE Tor付款網(wǎng)站指出：“付款到帳后，所有加密的計(jì)算機(jī)(包括您的計(jì)算機(jī))都將被解密。您的計(jì)算機(jī)受到感染都要?dú)w咎于IOBIT。”

IObit論壇遭黑客入侵并向其成員傳播勒索軟件

目前正在分析勒索軟件的弱點(diǎn)，尚不清楚是否可以免費(fèi)解密。

此外，還不清楚威脅者是否會(huì)如愿以?xún)敚⒃诟犊詈筇峁┙饷芷鳌?/p>

IObit論壇可能已受到威脅

為了創(chuàng)建虛假的推廣頁(yè)面并進(jìn)行惡意下載，攻擊者可能會(huì)入侵IObit的論壇并獲得對(duì)管理帳戶(hù)的訪(fǎng)問(wèn)權(quán)限。

這時(shí)，論壇似乎仍然受到威脅，就像您訪(fǎng)問(wèn)丟失的頁(yè)面并返回404錯(cuò)誤代碼一樣，該網(wǎng)頁(yè)將顯示用于訂閱瀏覽器通知的對(duì)話(huà)框。訂閱后，您的瀏覽器將開(kāi)始收到桌面通知，宣傳成人網(wǎng)站、惡意軟件和其他有害內(nèi)容。

IObit論壇遭黑客入侵并向其成員傳播勒索軟件