Foros y usuarios de IObit fueron pirateados en un ataque generalizado de ransomware DeroHE

La mayor parte de los usuarios de IObit se vieron comprometidos durante el fin de semana por un nuevo ransomware de nombre DeroHE, tras recibir un correo electrónico con una promoción falsa.

IObit es una compañía desarrolladora de herramientas gratuitas y de pago para Windows, probablemente seas usuario de uno de sus productos. Driver Booster, IObit Uninstaller y Advanced SystemCare, son unas de sus herramientas populares.

Durante el fin de semana, los usuarios de IObit recibieron correos electrónicos sobre una promoción que supuestamente la compañía estaba regalando, se trataba de una licencia gratuita por 1 año para su software por ser miembros del foro.

Hace unas semanas, me registré en los foros de soporte de software de IOBit para informar un error en su software. Ayer, recibí un correo electrónico (que parece ser) de ellos otorgando a los miembros del foro «una licencia gratuita de 1 año» con enlace de descarga… todo parecía legítimo (dirección de correo electrónico, material gráfico, enlace en su URL), así que descargué el parche «gratuito» que supuestamente registraba mi software IOBit .

Horas más tarde, mi computadora quedó completamente destrozada. Afortunadamente, hago una copia de seguridad de mi unidad de arranque todos los meses y pude volver a hacer funcionar un sistema, pero el daño que causó el malware fue extenso y necesito ayuda para recuperarme.

malwaretips

Recibí el correo electrónico, descargué y ejecuté el malware. Afortunadamente, me di cuenta de que algo andaba mal de inmediato y pude terminar y eliminar el malware antes de que se produjera algún daño.

wilderssecurity

Foros de IObit pirateados

Con el mensaje, «OBTENERLO AHORA«, el usuario al dar clic en el enlace, era redirigido a una página especialmente diseñada por los atacantes, en el que se distribuía un archivo .zip.

El archivo zip descargado contiene archivos firmados digitalmente del programa legítimo Administrador de licencias IObit, pero el archivo IObitUnlocker.dll original era reemplazado por una versión maliciosa sin firmar.

Cuando se ejecutaba el Administrador de licencias de IObit, IObitUnlocker.dll entraba en juego para instalar el ransomware DeroHE.

Después de que IObit License Manager era ejecutado, se mostraba un mensaje en la pantalla que decía: «Espere. Puede que tarde un poco más de lo esperado. ¡Mantenga su computadora en funcionamiento o con la pantalla encendida!» El ransomware muestra esta alerta para impedir que los usuarios apagaran su ordenador, de esta manera, los archivos iban siendo encriptados.

Los atacantes responsabilizan a IOBit por el secuestro de sus archivos: «Dígale a iobit.com que nos envíe 100000 (cien mil) monedas DERO a esta dirección. DERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugLCg26h»

«Después de que llegue el pago, toda la computadora cifrada (incluida la suya) será descifrada. ESTA ES FALLA DE IOBIT para que su computadora se infecte«, afirma el sitio de pago DeroHE Tor.

Los foros de IOBit probablemente también se encuentren comprometidos, dado que los atacantes pudieron alojar una descarga maliciosa para realizar la promoción falsa, tuvieron que tener acceso a una cuenta administrativa.

BleepingComputer se comunicó con IOBit para obtener más información al respecto del ataque. A través de BleepingComputer.

Autor: Hiber Hernández

Padre de familia y amigo; amante de los ordenadores, y escribiendo sobre Windows y Linux para dar a conocer el maravilloso mundo del software gratuito.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *