IObit Forum Hacklendi Fidye Yazılımı Kullanıcılara Yayıldı. Hafta sonu boyunca Windows için çeşitli araçlar geliştiren IObit Security şirketinin tehlikeye atıldığını ve resmi forum üyeleri arasında artık DeroHE şifresini genişlettiğini bildirdi.
Sorun, IObit forumu üyeleri şirket adına e-postalar almaya başladığında fark edildi. Bu da bir hediye olarak, kullanıcıların yazılımları için bir yıllık ücretsiz lisans hakkı olduğunu söyledi.
İlgili Haber: Fidye Yazılımı Nedir?
Mektubun ücretsiz bir lisansa götürdüğü iddia edilen bağlantı, aslında kurbanları https://forums.iobit.Com/ promo.html adresine yönlendirdi. Şu anda bu sayfa artık mevcut değil, ancak saldırı sırasında free-iobit-license-promo.zip (VirusTotal) dosyasını dağıttı. Bu arşiv, gerçek bir dijital imzaya sahip yasal IObit Lisans Yöneticisi programının dosyalarını içeriyordu. Ancak IObitUnlocker.dll dosyası, imzasız ve kötü amaçlı bir sürümle değiştirildi.
IObit Forum Hacklendi Fidye Yazılımı Kullanıcılara Yayıldı
IObit License Manager.exe başlatıldığında, kötü amaçlı IObitUnlocker.dll başlatıldı ve sonuç olarak, tüm bunlar DeroHE fidye yazılımının C: \ Program Files (x86) \ IObit \ iobit.dll (VirusTotal) içine yüklenmesine ve yürütülmesine yol açtı.
Yürütülebilir dosyaların çoğu bir IOBit sertifikasıyla imzalandığından ve arşiv şirketin web sitesinde barındırıldığından, kullanıcılar şirketten bir hediye aldıklarına inanarak ve hileyi fark etmeden isteyerek kötü amaçlı yazılım yüklediler. IObit forumundaki ( 1 , 2 ) yayınlara bakılırsa, saldırı tüm forum üyelerini hedef aldı.
İlgili Haber: 2021’in ilk yeni kurumsal fidye yazılımı çıktı!
Bleeping Computer muhabirleri fidye yazılımını inceledi ve “Dero Homomorphic Encryption” başlıklı fidye notuna göre kötü amaçlı yazılımın DERO kripto para birimini desteklediğini yazdı. Dosyaların şifresini çözmek için kurbanlardan yaklaşık 100$ değerinde 200 jeton istiyor.
Ayrıca, fidye yazılımı notu, bilgisayar korsanlarının yalnızca ödemeyi kabul etmekle kalmayıp aynı zamanda tüm kullanıcıların şifresini çözmek için 100.000 DERO ödemesi için IObit’i sunduğu soğan sitelerine bir bağlantı içeriyor.(http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onion) Bilgisayar korsanları, olan her şeyin IObit’in hatası olduğunu ve bu nedenle şirketin ödemesi gerektiğini iddia ediyor.
Bu saldırıyı gerçekleştirmek için saldırganların büyük olasılıkla IObit forumuna girip yönetici hesabına erişim sağladığını öne sürüyor. Daha da kötüsü, şirketin forumları hala tehlikede ve tehlikelidir. Bunları ziyaret etmek 404 hatası verir, ancak aynı zamanda tarayıcıdan bildirimlere abone olmanızı istemesini de ister. Bildirimleri almayı kabul ederseniz, gerçekten gelmeye başlayacaklar ve çoğunlukla yetişkinlere yönelik siteler, kötü amaçlı yazılımlar ve diğer istenmeyen içerikler için reklamlar olacak.
Ek olarak, sayfada herhangi bir yere tıklamak, yetişkinlere yönelik sitelerin reklamlarını da görüntüleyen yeni bir sekme açar. Sitenin diğer bölümleri de tehlikeye girmiş gibi görünüyor ve porno sitelere de yönlendiriliyor.
Bilgisayar korsanlarının IObit web sitesinin sayfalarına yerleştirdiği kötü amaçlı komut dosyası aşağıda görülebilir.
IObit şirketinin temsilcileri olay hakkında henüz yorum yapmadı ve gazetecilerden gelen taleplere yanıt vermiyor.
İlgili Makale: Fidye Yazılımı İçin Tim Oluşturuldu
