Зловреден софтуер HotPage
Изследователите на киберсигурността са открили рекламен модул, който твърди, че блокира реклами и измамни уебсайтове. Той обаче тайно инсталира компонент на драйвер на ядрото, позволявайки на хакерите да изпълняват произволен код с повишени разрешения на Windows системи. Този злонамерен софтуер, наречен HotPage, се идентифицира чрез своя инсталационен файл, „HotPage.exe“.
Съдържание
Как работи зловредният софтуер HotPage?
Инсталаторът настройва драйвер, който може да инжектира код в отдалечени процеси, заедно с две библиотеки, които прихващат и манипулират мрежовия трафик на браузъра. Този злонамерен софтуер е способен да променя или заменя съдържанието на уеб страници, да пренасочва потребителите към различни страници или да отваря нови раздели въз основа на определени условия.
В допълнение към използването на своите функции за прихващане и филтриране на трафика за показване на реклами, свързани с игри, зловреден софтуер е проектиран да събира и предава системна информация към отдалечен сървър, свързан с Hubei Dunwang Network Technology Co., Ltd, китайска компания.
Основната функция на драйвера е да инжектира тези библиотеки в приложенията на браузъра, като променя техния поток на изпълнение, за да промени достъпния URL адрес или да гарантира, че началната страница на новите сесии на браузъра е пренасочена към URL адрес, посочен в неговата конфигурация.
Нападателите могат да получат привилегии от най-високо ниво на заразени устройства
Липсата на списъци за контрол на достъпа (ACL) за драйвера позволява на хакер с непривилегирован акаунт да го използва за повишени привилегии, което им позволява да изпълняват код като NT AUTHORITY\System акаунт.
Този компонент на ядрото по невнимание излага най-високото ниво на привилегия в Windows, системния акаунт, на потенциални заплахи. Поради неадекватни ограничения за достъп, всеки процес може да взаимодейства с този компонент и да използва неговата способност за инжектиране на код, за да се насочи към незащитени процеси.
Въпреки че точният метод на разпространение на инсталатора не е ясен, има доказателства, че той е рекламиран като решение за сигурност за интернет кафенета, като се твърди, че подобрява изживяването при сърфиране чрез блокиране на реклами.
HotPage Malware Exploits Подписан сертификат
Вграденият драйвер на този зловреден софтуер е особено забележителен, защото е подписан от Microsoft. Смята се, че китайската компания зад него е изпълнила изискванията на Microsoft за подписване на код на драйвер и е получила сертификат за разширена проверка (EV). Въпреки това драйверът беше премахнат от каталога на Windows Server от 1 май 2024 г.
Windows изисква драйверите в режим на ядрото да бъдат цифрово подписани като критична мярка за сигурност за защита срещу измамни драйвери, които биха могли да подкопаят контролите за сигурност и да нарушат системните процеси.
Въпреки това експертите по киберсигурност са открили, че говорещите китайски заплахи участници използват вратичка в политиката на Microsoft Windows, за да фалшифицират подписи на драйвери в режим на ядрото. Анализът на HotPage, който изглежда като сравнително общ зловреден софтуер, показва, че разработчиците на рекламен софтуер продължават да полагат големи усилия, за да постигнат целите си.
