Piraté, le forum IObit distribue le ransomware DeroHE aux membres
L'éditeur IObit s'est fait pirater son forum pendant le week-end. Résultat : le forum est devenu distributeur du ransomware DeroHE en envoyant des e-mails aux membres.
IObit développe et commercialise des logiciels pour Windows et Mac, notamment pour optimiser le système d'exploitation grâce à un nettoyage intelligent avec le logiciel Advanced SystemCare.
Pour tenter de piéger les membres du forum IObit, les pirates ont envoyé des e-mails en provenance d'IObit avec une offre promotionnelle à l'ensemble des membres du forum. En amont, ils ont réussi à devenir administrateurs du forum IObit. Concrètement, en tant que membre du forum IObit, chaque personne avait le droit d'obtenir une licence d'un an pour un logiciel, gratuitement.
Le bouton "GET IT NOW" dans l'e-mail renvoyait sur le forum IObit sur une page spécifique et téléchargeait un fichier ZIP sur la machine de la victime. À première vue, le ZIP peut sembler légitime, il contient des fichiers signés du Gestionnaire de licence d'IObit. Néanmoins, le problème se cache dans la bibliothèque IObitUnlocker.dll : c'est une version non signée et malveillante !
C'est là où ça devient moins drôle pour l'utilisateur : si le gestionnaire de licences est exécuté sur la machine, il va déployer le fichier "C:\Program Files (x86)\IObit\iobit.dll" sur le PC et l'exécuter. Autrement dit, il va exécuter le ransomware DeroHE.
Ensuite, une pop-up avec le titre "IObit License Manager" s'affiche pour indiquer à l'utilisateur qu'il doit patienter, que cela prend un peu plus de temps que prévu ! Pendant ce temps, le ransomware est gentiment en train de chiffrer les fichiers avec l'extension .DeroHE.
Au sein du fichier "READ_TO_DECRYPT.html", on apprend que pour obtenir un outil de déchiffrement, les pirates réclament environ 100$ à chaque victime pour atteindre la somme nécessaire et débloquer tout le monde. Par contre, il y a une alternative : si IObit paie 100 000 $ directement, cela permettra de déchiffrer les fichiers de tout le monde.
Si ce n'est que l'offre peut sembler trop belle pour être vraie, tout encourage l'utilisateur à y croire : e-mail légitime qui renvoie vers le site officiel d'IObit. Le nombre de personnes piégées n'est pas précisé. Pour le moment, le forum de IObit est totalement hors ligne.