البرامج الضارة HotPage
اكتشف باحثو الأمن السيبراني وحدة برامج إعلانية تدعي أنها تمنع الإعلانات والمواقع الاحتيالية. ومع ذلك، فإنه يقوم بتثبيت مكون برنامج تشغيل kernel سرًا، مما يسمح للمتسللين بتنفيذ تعليمات برمجية عشوائية بأذونات مرتفعة على أنظمة Windows. يتم التعرف على هذه البرامج الضارة، المسماة HotPage، من خلال ملف التثبيت الخاص بها، "HotPage.exe".
جدول المحتويات
كيف تعمل البرامج الضارة HotPage؟
يقوم المثبت بإعداد برنامج تشغيل يمكنه إدخال التعليمات البرمجية في العمليات البعيدة، إلى جانب مكتبتين تعترضان حركة مرور شبكة المتصفح وتتلاعبان بها. هذه البرامج الضارة قادرة على تعديل أو استبدال محتوى صفحات الويب، أو إعادة توجيه المستخدمين إلى صفحات مختلفة، أو فتح علامات تبويب جديدة بناءً على شروط محددة.
بالإضافة إلى استخدام ميزات اعتراض حركة المرور والتصفية لعرض الإعلانات المتعلقة باللعبة، تم تصميم البرنامج الضار لجمع ونقل معلومات النظام إلى خادم بعيد مرتبط بشركة Hubei Dunwang Network Technology Co., Ltd، وهي شركة صينية.
تتمثل الوظيفة الرئيسية لبرنامج التشغيل في إدخال هذه المكتبات في تطبيقات المتصفح، وتغيير تدفق تنفيذها لتغيير عنوان URL الذي تم الوصول إليه أو التأكد من إعادة توجيه الصفحة الرئيسية لجلسات المتصفح الجديدة إلى عنوان URL المحدد في تكوينها.
يمكن للمهاجمين الحصول على امتيازات عالية المستوى على الأجهزة المصابة
يسمح عدم وجود قوائم التحكم في الوصول (ACLs) لبرنامج التشغيل للمهاجم الذي لديه حساب غير مميز باستغلاله للحصول على امتيازات مرتفعة، مما يمكّنه من تنفيذ التعليمات البرمجية كحساب NT AUTHORITY\System.
يعرض مكون kernel هذا عن غير قصد أعلى مستوى امتياز في Windows، وهو حساب النظام، للتهديدات المحتملة. نظرًا لقيود الوصول غير الكافية، يمكن لأي عملية التفاعل مع هذا المكون واستخدام إمكانية حقن التعليمات البرمجية الخاصة به لاستهداف العمليات غير المحمية.
في حين أن طريقة التوزيع الدقيقة لبرنامج التثبيت غير واضحة، إلا أن هناك أدلة تشير إلى أنه تم تسويقه كحل أمني لمقاهي الإنترنت، بدعوى تحسين تجربة التصفح عن طريق حظر الإعلانات.
البرامج الضارة HotPage تستغل الشهادة الموقعة
يعد برنامج التشغيل المضمن لهذه البرامج الضارة ملحوظًا بشكل خاص لأنه موقّع بواسطة Microsoft. يُعتقد أن الشركة الصينية التي تقف وراءها قد استوفت متطلبات توقيع رمز برنامج التشغيل من Microsoft وحصلت على شهادة التحقق الموسع (EV). ومع ذلك، تمت إزالة برنامج التشغيل من كتالوج Windows Server اعتبارًا من 1 مايو 2024.
يتطلب Windows أن يتم توقيع برامج تشغيل وضع kernel رقميًا كإجراء أمني بالغ الأهمية للحماية من برامج التشغيل الاحتيالية التي قد تؤدي إلى تقويض ضوابط الأمان وتعطيل عمليات النظام.
على الرغم من ذلك، اكتشف خبراء الأمن السيبراني أن الجهات الفاعلة في مجال التهديد الناطقة باللغة الصينية تستغل ثغرة في سياسة Microsoft Windows لتزوير التوقيعات على برامج تشغيل وضع kernel. يوضح تحليل HotPage، الذي يبدو أنه جزء عام نسبيًا من البرامج الضارة، أن مطوري برامج الإعلانات المتسللة يواصلون بذل جهود كبيرة لتحقيق أهدافهم.
