В минувшие выходные компания IObit, разработчик утилиты для Windows, была взломана с целью проведения широкомасштабной атаки с целью распространения странного вымогателя DeroHE среди участников форума.
IObit - разработчик программного обеспечения, известный своими программами по оптимизации системы Windows и защитой от вредоносных программ, такими как Advanced SystemCare.
В минувшие выходные участники форума IObit начали получать электронные письма, утверждающие, что они были от IObit, в которых говорится, что они имеют право на бесплатную годовую лицензию на свое программное обеспечение в качестве особого преимущества участия в форуме.
Электронное письмо IObit 'Promo'
В электронном письме есть ссылка «ПОЛУЧИТЬ СЕЙЧАС», которая перенаправляет на hxxps: //forums.iobit.com/promo.html. Эта страница больше не существует, но во время атаки она распространяла файл по адресу hxxps: //forums.iobit.com/free-iobit-license-promo.zip.
Этот zip-файл [ VirusTotal ] содержит файлы с цифровой подписью из законной программы IObit License Manager, но с заменой IObitUnlocker.dll неподписанной вредоносной версией, показанной ниже.
Вредоносная библиотека DLL IObitUnlocker.dll
Источник: BleepingComputer
При запуске IObit License Manager.exe будет запущена вредоносная программа IObitUnlocker.dll для установки вымогателя DeroHE в C: \ Program Files (x86) \ IObit \ iobit.dll [ VirusTotal ] и его выполнения.
Поскольку большинство исполняемых файлов подписано сертификатом IOBit, а zip-файл был размещен на их сайте, пользователи устанавливали программу-вымогатель, думая, что это законная реклама.
Судя по сообщениям на форуме IObit и других форумах [ 1 , 2 ], это широко распространенная атака, нацеленная на всех участников форума.
Подробнее о программе-вымогателе DeroHE
С тех пор BleepingComputer проанализировал программу-вымогатель, чтобы проиллюстрировать, что происходит при запуске на компьютере жертвы.При первом запуске программа-вымогатель добавит автозапуск Windows с именем «IObit License Manager», который запускает команду «rundll32» C: \ Program Files (x86) \ IObit \ iobit.dll, DllEntry »при входе в Windows.
Аналитик Emsisoft Элиз ван Дорп , которая также проанализировала программу-вымогатель, заявила, что программа-вымогатель добавляет следующие исключения Защитника Windows, позволяющие запускать DLL.
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"
Теперь программа-вымогатель отобразит окно сообщения, в котором якобы отправлено IObit License Manager: «Подождите. Это может занять немного больше времени, чем ожидалось. Не выключайте компьютер или включите экран!» Программа-вымогатель показывает это предупреждение, чтобы жертвы не отключили свои устройства до завершения работы программы-вымогателя.
Поддельное предупреждение, чтобы компьютер не выключался.
Источник: BleepingComputer.
При шифровании жертв он будет добавлять расширение .DeroHE к зашифрованным файлам.
Файлы, зашифрованные программой-вымогателем DeroHE
Источник: BleepingComputer
Каждый зашифрованный файл также будет иметь строку информации, добавленную в конец файла, как показано ниже. Программа-вымогатель может использовать эту информацию для расшифровки файлов в случае уплаты выкупа.
{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}
Шестнадцатеричное редактирование зашифрованного файла
Источник: BleepingComputer
На рабочем столе Windows программа-вымогатель DeroHE создаст два файла с именем FILES_ENCRYPTED.html, содержащие список всех зашифрованных файлов, и записку о выкупе READ_TO_DECRYPT.html.
Записка с требованием выкупа имеет название «Dero Homomorphic Encryption» и продвигает криптовалюту под названием DERO. В этой записке жертве предлагается отправить 200 монет на сумму около 100 долларов по указанному адресу, чтобы получить дешифратор.
Заметка о вымогательстве DeroHE
Источник: BleepingComputer
К записке с требованием выкупа прилагается сайт Tor программы-вымогателя , который можно использовать для оплаты.
Особый интерес представляет то, что сайт Tor заявляет, что IObit может отправить 100000 долларов в монетах DERO для расшифровки всех жертв, поскольку злоумышленники обвиняют IObit в компрометации.
«Скажите iobit.com, чтобы он отправил нам 100000 (1 сто тысяч) монет DERO на этот адрес.
«После получения платежа весь зашифрованный компьютер (включая ваш) будет расшифрован. ЭТО ОШИБКА IOBIT заставила ваш компьютер заразиться», - говорится на сайте оплаты DeroHE Tor.
Платежный сайт Dero Ransomware Tor
Источник: BleepingComputer
Программа-вымогатель анализируется на наличие слабых мест, и неизвестно, можно ли ее бесплатно расшифровать.
Кроме того, неизвестно, сдержат ли злоумышленники свое слово и предоставят дешифратор в случае оплаты.
Форумы IObit, вероятно, скомпрометированы
Чтобы создать поддельную рекламную страницу и разместить вредоносную загрузку, злоумышленники, вероятно, взломали форум IObit и получили доступ к учетной записи администратора.В настоящее время форумы все еще кажутся скомпрометированными, как если бы вы посещали отсутствующие страницы, которые возвращают код ошибки 404, веб-страница будет отображать диалоговые окна для подписки на уведомления браузера. После подписки ваш браузер начнет получать уведомления на рабочем столе, рекламирующие сайты для взрослых, вредоносное ПО и другой нежелательный контент.
Взломанная страница форума IObit
Источник: BleepingComputer
Кроме того, если вы щелкните в любом месте страницы, откроется новая вкладка, показывающая рекламу сайтов для взрослых. Другие разделы сайта также кажутся скомпрометированными, поскольку нажатие на ссылки форума перенаправляет вас на аналогичные страницы для взрослых.
Злоумышленники взломали форум, внедрив вредоносный скрипт на все страницы, которые не были найдены, как показано ниже.
Взломанная страница форума IObit
Источник: BleepingComputer
BleepingComputer обратился к IObit с вопросами, связанными с этой атакой, но не получил ответа.
Перевод с английского - Google
Bleeping Computer
