Los piratas informáticos siempre están buscando nuevas formas de engañar a sus víctimas para tener mayor probabilidad de éxito en los ataques. La ingeniería social es una técnica cada vez más compleja. Los piratas cada vez suplantan mejor a las grandes compañías para poder llevar a cabo sus ataques informáticos con mayor profesionalidad, hasta el punto de que son capaces de hackear los servidores de una gran desarrolladora, como es el caso de IObit, para ocultar en ellos el malware y distribuirlo a los usuarios sin levantar la más mínima sospecha.
IObit es una conocida desarrolladora de software que nos ofrece herramientas de lo más interesantes como:
- Driver Booster, para actualizar los drivers del PC.
- Uninstaller, para desinstalar programas y no dejar rastro.
- Advanced SystemCare Ultimate, un completo optimizador todo en uno.
- Software Update, un actualizador de programas para Windows.
La licencia de estos programas es mediante suscripción. Esto significa que, después de pagar por la clave, esta es totalmente funcional durante un año. Pasado ese tiempo, tendremos que renovarla, como en muchos otros programas.
Y es de esto de lo que se han aprovechado los piratas informáticos.
Un año gratis de IObit que te puede salir muy caro
Lo primero que hicieron estos piratas informáticos fue hackear los foros oficiales de IObit. Tras conseguir la cuenta de administrador, estos aprovecharon para poder acceder al servidor y añadir elementos maliciosos al foro. Por ejemplo, añadieron un sistema de notificaciones que, al activarlo, nos muestra webs de adultos recomendadas. Y también subieron un archivo comprimido con el malware.
También usaron la cuenta de administrador del foro para enviar un correo masivo a los usuarios. En este correo se ofrecía una licencia gratis de un año para todos los productos de IObit solo para usuarios privilegiados del foro. La campaña está muy cuidada en todos los sentidos, por lo que no levantaba, a simple vista, sospechas.
Al hacer clic sobre el botón «Get it now», se procedía a la descarga de un archivo, «free-iobit-license-promo.zip», distribuido directamente desde el servidor del foro. Este archivo comprimido incluía archivos legítimos de licencia de los programas, pero uno de los archivos, «IObitUnlocker.dll«, fue reemplazado por un archivo falso, sin firmar. El ransomware.
Al ejecutar el archivo «IObit License Manager.exe «, que en teoría se encarga de administrar la licencia del programa, la librería IObitUnlocker.dll instala el ransomware DeroHE en los ordenadores de las víctimas. Este ransomware se carga en la memoria como «iobit.dll», y podemos ver sus detecciones en VirusTotal.
El programa «IObit License Manager» nos indica que activar la licencia puede llevar un rato y que dejemos la pantalla encendida. Al cabo de un rato, todos nuestros archivos estarán cifrados, secuestrados por el ransomware.
Qué hacer
Este ransomware pide a los usuarios un total de 200 criptomonedas DERO (que equivale, aproximadamente, a 100 dólares) para recuperar la clave maestra, y promete que si DERO alcanza los 100 dólares por moneda nos devolverán 5 DERO, lo que equivaldría a 500 dólares. O podemos forzar a IObit a pagar 100.000 DERO para que, automáticamente, todos los PCs se liberen de forma gratuita. Sin embargo, nada nos garantiza que ninguna de las promesas se cumpla.
Los investigadores de seguridad ya están analizando el ransomware para poder averiguar qué tipo de algoritmo utiliza y si se pueden recuperar los datos gratis. De momento, no sabemos si es posible.