O nome IOBit é conhecido por fornecer várias ferramentas de otimização e segurança para sistemas Windows. Recentemente foi descoberto que os fóruns de suporte da plataforma, onde existem milhares de utilizadores registados, podem ter sido comprometidos, e os dados dos utilizadores usados para o envio de emails com foco a distribuir ransomware.
De acordo com o portal BleepingComputer, durante o passado fim de semana vários utilizadores registados nos fóruns da IObit terão recebido um email de aparente publicidade da mesma, onde era indicado que seria fornecida uma aplicação da empresa de forma gratuita.
No email encontravam-se links que redirecionavam os utilizadores para o domínio da IOBit, e onde estes poderiam descarregar o programa em questão. Neste caso, o programa fornecido estava também alojado sobre um ficheiro ZIP nos servidores da entidade.
Este ficheiro ZIP continha um executável sobre o nome de “IObit License Manager”, que deveria ser usado para permitir o acesso aos programas. No entanto, este programa é exatamente o que estaria a ser usado para disponibilizar o ransomware das potenciais vitimas.
Uma vez executado, o programa procedia com a instalação do ransomware “DeroHE” nos sistemas dos utilizadores.
De notar que este programa encontrava-se certificado como sendo da IOBit, sendo que a atividade maliciosa era levada a cabo por um ficheiro DLL que continha o código malicioso responsável por instalar o ransomware.
O ransomware, uma vez instalado nos sistemas dos utilizadores, encripta todos os seus ficheiros e documentos, apresentando apenas uma mensagem para o desbloqueio. Os utilizadores afetados possuem apenas duas formas de recuperar os seus ficheiros: pagando cerca de 100 dólares sobre a criptomoeda DERO, ou aguardando que a IOBit pague 1000000 DERO para que todo os sistemas afetados sejam desencriptados.
A mensagem de ransomware indica ainda que a culpa do ataque encontra-se diretamente relacionada com a IOBit, o que confirma novamente que este ataque terá usado a base dos utilizadores registados sobre os fóruns da entidade para o envio da campanha maliciosa.
No final, este ataque aparenta ter sido criado com bastante precisão para levar os utilizadores a instalar o ransomware nos sistemas. Desde o email criado especificamente para parecer como sendo uma “oferta”, até ao facto que o próprio instalador do ransomware e a mensagem de recuperação dos ficheiros refere exatamente os métodos usados para o ataque.
Até ao momento a IOBit ainda não respondeu publicamente ao caso. No entanto, os fóruns da empresa ainda estão a carregar scripts com conteúdo malicioso na sua página inicial. Não se sabe até que ponto os dados dos utilizadores foram comprometidos.
Nenhum comentário
Seja o primeiro!