il modo più strano per diffondere un Ransomware
Buongiorno cari lettori, oggi parleremo degli hacker che hanno compromesso il forum IObit per diffondere il ransomware DeroHE.
IObit è uno sviluppatore di software per l'ottimizzazione del sistema Windows e programmi anti-malware come Advanced SystemCare.
Durante il fine settimana, lo sviluppatore di utility per Windows IObit è stato violato per facilitare un attacco diffuso per distribuire il ransomware DeroHE ai membri del forum IObit.
La ricerca rivela che gli operatori del ransomware hanno violato il forum IObit per creare una falsa pagina promozionale e ospitare il download del ransomware. È molto probabile che gli aggressori abbiano ottenuto l'accesso a un account amministrativo dopo aver violato il forum.
Tutti i forum IObit appaiono ancora compromessi, e le pagine restituiscono un codice di errore 404, e la pagina web mostra finestre di dialogo per iscriversi alle notifiche del browser. Se un utente visita la pagina web, il browser inizia a ricevere notifiche sul desktop per la promozione di contenuti indesiderati, come siti per adulti e software dannoso.
Vedi: Gli hacker hanno clonato il sito NordVPN per far cadere il trojan bancario
IObit è uno sviluppatore di software per l'ottimizzazione del sistema Windows e programmi anti-malware come Advanced SystemCare.
I membri del forum hanno ricevuto e-mail fasulle
Il problema con IObit è iniziato quando questo fine settimana, i membri del forum hanno iniziato a ricevere e-mail fasulle mascherate per essere inviate da IObit. Le email affermavano che il destinatario avrebbe ricevuto un vantaggio speciale come una licenza gratuita di un anno per i prodotti IObit per essere un membro del forum.
Le strane email sono state inviate dall'indirizzo email ufficiale di IObit. Alcuni dei prodotti offerti erano ottimizzatori di sistema e soluzioni di sicurezza MS Windows. Le email contengono un pulsante Get it Now. Quando il destinatario clicca su questo pulsante, viene reindirizzato a una pagina di distribuzione del ransomware. Scaricano un file ZIP che contiene il ransomware DeroHE.
Molti destinatari sono stati ingannati nell'installare l'applicazione nelle email, considerandola un autentico messaggio promozionale. Tuttavia, hanno finito per scaricare un brutto ransomware che ha bloccato tutti i file dopo aver aggiunto l'estensione .DeroHE, ha corrotto le intestazioni dei file e li ha suddivisi in frammenti per escludere qualsiasi possibilità di recupero dei file.
Come funziona l'attacco?
Quando l'utente esegue il file IObit License Manager.exe allegato nell'e-mail, il maligno IObitUnlocker.dll viene invece eseguito e installa il ransomware DeroHE in C:\Program Files (x86)\IObit\iobit.dll [VirusTotal].
Dopo l'installazione, il ransomware viene eseguito automaticamente. Gli utenti vengono ingannati facilmente perché la maggior parte degli eseguibili sono firmati con il certificato di IObit. Inoltre, il file ZIP è ospitato sul loro sito. Quindi, gli utenti credono che sia una promozione legittima.
Il ransomware visualizza una casella di messaggio che afferma: "Si prega di attendere. Potrebbe volerci un po' più tempo del previsto. Tieni il computer in funzione o lo schermo acceso!" per impedire agli utenti di spegnere i loro dispositivi prima che il ransomware finisca il suo compito di criptare il file.
La nota di riscatto
Quando i dati vengono criptati, appare la nota di riscatto con il titolo "Dero Homomorphic Encryption". Alla vittima viene chiesto di pagare il riscatto in criptovaluta DERO e di inviare 200 monete (circa 100 dollari) all'indirizzo fornito per ottenere un decrittatore. La nota contiene anche l'indirizzo del sito Tor del ransomware, a cui la vittima deve accedere per pagare il decrittatore.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
Gli attaccanti incolpano IObit per l'attacco
È interessante notare che, secondo BleepingComputer, il sito Tor sostiene che IObit può inviare $ 100.000 in monete DERO per la decrittazione di tutte le vittime perché è responsabile della compromissione.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
