Unbekannte Hacker haben sich offensichtlich Zugang zum Forum von IObit verschafft und verteilen nun den Windows-Verschlüsselungstrojaner DeroHE an Forenmitglieder. Der Schädling versteckt sich in gefälschten Mails, die Empfängern ein Jahr lang kostenlose Lizenzen versprechen.

IObit hat verschiedene Windows-Tool im Angebot, um beispielsweise das System zu optimieren oder Malware zu entfernen.

Perfide Masche

Im Forum der Website von Bleepingcomputer sammeln sich Berichte von Opfern, die sich die Ransomware eingefangen haben. Sie haben den Köder mit der Gratis-Lizenz geschluckt und die in der Mail verlinkte Datei heruntergeladen und installiert. Im Anschluss legt DeroHE los und verschlüsselt Dateien. Den Schlüssel gibt es nur gegen ein Lösegeld in Höhe von 100 US-Dollar.

Der perfide an der Masche ist aber nicht die im Namen von IObit verfasste und vergleichsweise gut gemachte Betrügermail, sondern dass die Malware vom Anbieter signiert ist. Bei ihrem Einbruch ins Forum müssen die Angreifer demzufolge einen Schlüssel zum Signieren von Software von IObit erbeutet haben. Einem Opfer zufolge ist der Virenscanner Windows Defender nicht auf die Datei angesprungen. Das könnte unter anderem an der vertrauenswürdigen Signierung liegen.

In der Erpresserbotschaft behaupten die Betrüger, dass IObit an der Verschlüsselung Schuld ist. Sie bieten auch die Option an, wenn IObit 100.000 US-Dollar zahlt, die Daten von allen Opfern zu entschlüsseln. Wie oft die Ransomware zugeschlagen hat, ist derzeit nicht bekannt.

Forum nicht verfügbar

Wer im Forum angemeldet ist, sollte sich vor solchen Mails in Acht nehmen. Derzeit ist das Forum immer noch offline. Bleepingcomputer berichtet, dass die Forensoftware vBulletin in der verwundbaren Version 5.6.1 zum Einsatz kommen soll.

(des)