IOBit-Forum gehackt, DeroHE-Ransomware wurde verbreitet

Publiziert am 19. Januar 2021 von Günter Born

[English]Das Forum des Windows Tool-Entwicklers IOBit wurde am Wochenende gehackt. Ziel des Hacks war es, die DeroHE-Ransomware an Forenbesucher zu verteilen.

Anzeige

Ich bin jetzt nicht so sicher, ob es unter den Blog-Lesern Betroffene gibt – denn IOBit ist (jedenfalls für mich) ein Anbieter, den man nicht mal mit der Kneifzange anfassen sollte. Denn IOBit bietet so Tools zum Bereinigen und Beschleunigen eines Windows-Systems, Registry-Cleaner, PC-Optimierer oder Malware-Bereiniger an. Alles Windows-Tools, die i.d.R. überflüssig, in manchen Situationen sogar schädlich sind und von mir unter 'Schlangenöl' einsortiert werden (siehe mein alter Beitrag Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs). Aber es gibt Nutzer, die schwören auf IOBit, da kann man nicht gegen ankommen.

Hack des IOBit-Forums

Zum Wochenende wurden die Nutzer des IOBit-Forums mit einer vermeintlich besonderen E-Mail beglückwünscht. Die Mitglieder des IObit-Forums erhielten E-Mails, die sich als von IObit ausgaben und behaupteten, sie hätten Anspruch auf eine kostenlose 1-Jahres-Lizenz für ihre Software als besondere Vergünstigung, weil sie Mitglied des Forums sind. Pustekuchen, das war nur ein netter Köder.

Ich bin über die Kollegen von Bleeping Computer auf den Sachverhalt gestoßen. Diese haben die Kerninformationen eigentlich in folgenden zwei Tweets komprimiert.

IOBit-Forum gehackt

Anzeige

Wer auf die Schaltfläche Get It Now der vermeintlich von IOBit stammenden Nachricht klickte, wurde zur URL:

hxxps://forums.iobit.com/promo.html

weiterleitet. Diese Seite existiert aktuell nicht mehr, verteilte aber direkt nach dem Hack eine Datei

hxxps://forums.iobit.com/free-iobit-license-promo.zip.

Diese Zip-Achrivdatei enthielt digital signierte Dateien des legitimen IObit License Manager-Programms. Allerdings hatten die Angreifer die Datei IObitUnlocker.dll durch eine unsignierte, bösartige Version ersetzt. Virustotal weist diese als Trojaner aus. Und diese Datei lud dann die DeroHE-Ransomware nach.

Bald meldeten sich Benutzer in Sicherheitsforen wie hier oder hier, die auf die 'Offerte' hereingefallen waren und die 'Promo' installiert hatten. Stunden später wurde das System mit der DeroHE-Ransomware verschlüsselt und es tauchte eine Forderung über 200 Crypto-Coins (ca. 100 US $) zur Entschlüsselung auf. Die Kollegen von Bleeping Computer haben die Malware noch etwas analysiert und beschreiben hier deren Wirkungsweise sowie weitere Details.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.