Een aanvaller heeft een verlopen domeinnaam van een keyboard-app geregistreerd en vervolgens gebruikt voor het verspreiden van malafide updates onder gebruikers. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het gaat om Sogou Zhuyin, een input method editor (IME). De software, oorspronkelijk bedoeld voor gebruikers in Taiwan, biedt verschillende manieren voor het invoeren van Chinese karakters op Windowscomputers.

In 2019 stopte de support van de software. Afgelopen oktober wisten aanvallers de verlopen domeinnaam van Sogou Zhuyin te registreren. Daarnaast wisten ze ook de updateserver over te nemen, aldus Trend Micro. Een maand later werden malafide updates onder gebruikers van de software uitgerold. Begin dit jaar wordt de officiële installer via de geregistreerde domeinnaam aangeboden, die na installatie ook de malafide updates ontvangt.

Volgens Trend Micro worden via de malafide updates verschillende soorten malware verspreid, zoals remote access tools, information stealers die allerlei bestanden stelen en backdoors. Inmiddels zouden honderden gebruikers van de software besmet zijn geraakt, zo stellen de onderzoekers. Die voegen toe dat de aanvallers vooral naar "waardevolle" doelwitten zoeken en er bij de meeste besmette systemen geen verdere activiteiten zijn waargenomen. Trend Micro adviseert organisaties en gebruikers om hun systemen op end-of-support software te controleren en dergelijke applicaties te verwijderen of vervangen.