হটপেজ ম্যালওয়্যার

সাইবারসিকিউরিটি গবেষকরা একটি অ্যাডওয়্যার মডিউল আবিষ্কার করেছেন যা বিজ্ঞাপন এবং প্রতারণামূলক ওয়েবসাইটগুলিকে ব্লক করার দাবি করে। যাইহোক, এটি গোপনে একটি কার্নেল ড্রাইভার কম্পোনেন্ট ইনস্টল করে, যার ফলে হ্যাকাররা উইন্ডোজ সিস্টেমে এলিভেটেড পারমিশন সহ নির্বিচারে কোড চালাতে পারে। HotPage নামের এই ম্যালওয়্যারটিকে এর ইনস্টলার ফাইল 'HotPage.exe' দ্বারা চিহ্নিত করা হয়৷

হটপেজ ম্যালওয়্যার কিভাবে কাজ করে?

ইনস্টলার একটি ড্রাইভার সেট আপ করে যা দূরবর্তী প্রক্রিয়াগুলিতে কোড ইনজেক্ট করতে পারে, পাশাপাশি দুটি লাইব্রেরি যা ব্রাউজার নেটওয়ার্ক ট্র্যাফিককে বাধা দেয় এবং ম্যানিপুলেট করে। এই ম্যালওয়্যারটি ওয়েব পৃষ্ঠাগুলির বিষয়বস্তু পরিবর্তন বা প্রতিস্থাপন করতে, ব্যবহারকারীদের বিভিন্ন পৃষ্ঠায় পুনঃনির্দেশিত করতে বা নির্দিষ্ট শর্তের উপর ভিত্তি করে নতুন ট্যাব খুলতে সক্ষম।

গেম-সম্পর্কিত বিজ্ঞাপন প্রদর্শনের জন্য এর ট্র্যাফিক ইন্টারসেপশন এবং ফিল্টারিং বৈশিষ্ট্যগুলি ব্যবহার করার পাশাপাশি, ম্যালওয়্যারটি একটি চীনা কোম্পানি Hubei Dunwang Network Technology Co., Ltd-এর সাথে সংযুক্ত একটি দূরবর্তী সার্ভারে সিস্টেমের তথ্য সংগ্রহ এবং প্রেরণ করার জন্য ডিজাইন করা হয়েছে।

ড্রাইভারের প্রধান কাজ হল এই লাইব্রেরিগুলিকে ব্রাউজার অ্যাপ্লিকেশনগুলিতে ইনজেকশন করা, অ্যাক্সেস করা URL পরিবর্তন করতে তাদের এক্সিকিউশন ফ্লো পরিবর্তন করে বা নিশ্চিত করা যে নতুন ব্রাউজার সেশনের হোমপেজ কনফিগারেশনে নির্দিষ্ট করা একটি URL-এ পুনঃনির্দেশিত হয়েছে।

আক্রমণকারীরা সংক্রামিত ডিভাইসগুলিতে সর্বোচ্চ-স্তরের বিশেষাধিকার পেতে পারে

ড্রাইভারের জন্য অ্যাক্সেস কন্ট্রোল লিস্টের (ACLs) অভাব একটি নন-প্রিভিলেজড অ্যাকাউন্ট সহ আক্রমণকারীকে উন্নত বিশেষাধিকারের জন্য এটিকে কাজে লাগাতে দেয়, তাদের NT AUTHORITY\System অ্যাকাউন্ট হিসাবে কোড কার্যকর করতে সক্ষম করে।

এই কার্নেল উপাদানটি অসাবধানতাবশত উইন্ডোজের সর্বোচ্চ সুবিধার স্তর, সিস্টেম অ্যাকাউন্টকে সম্ভাব্য হুমকির সম্মুখীন করে। অপর্যাপ্ত অ্যাক্সেস সীমাবদ্ধতার কারণে, যে কোনও প্রক্রিয়া এই উপাদানটির সাথে যোগাযোগ করতে পারে এবং অরক্ষিত প্রক্রিয়াগুলিকে লক্ষ্য করার জন্য এর কোড ইনজেকশন ক্ষমতা ব্যবহার করতে পারে।

যদিও ইনস্টলারের সঠিক বিতরণ পদ্ধতিটি অস্পষ্ট, সেখানে প্রমাণ রয়েছে যে এটি ইন্টারনেট ক্যাফেগুলির জন্য একটি নিরাপত্তা সমাধান হিসাবে বিপণন করা হয়েছে, বিজ্ঞাপনগুলিকে ব্লক করে ব্রাউজিং অভিজ্ঞতা উন্নত করার দাবি করে৷

হটপেজ ম্যালওয়্যার স্বাক্ষরিত শংসাপত্র শোষণ করে৷

এই ম্যালওয়্যারের এমবেডেড ড্রাইভারটি বিশেষভাবে উল্লেখযোগ্য কারণ এটি মাইক্রোসফ্ট দ্বারা স্বাক্ষরিত। এর পিছনে থাকা চীনা কোম্পানি মাইক্রোসফটের ড্রাইভার কোড স্বাক্ষরের প্রয়োজনীয়তা পূরণ করেছে এবং একটি এক্সটেন্ডেড ভেরিফিকেশন (EV) সার্টিফিকেট পেয়েছে বলে মনে করা হয়। যাইহোক, উইন্ডোজ সার্ভার ক্যাটালগ থেকে ড্রাইভারটি 1 মে, 2024 থেকে সরানো হয়েছিল।

Windows-এর জন্য কার্নেল-মোড ড্রাইভারদের ডিজিটালভাবে স্বাক্ষরিত হওয়া প্রয়োজন প্রতারণামূলক ড্রাইভারদের থেকে রক্ষা করার জন্য যা নিরাপত্তা নিয়ন্ত্রণকে দুর্বল করতে পারে এবং সিস্টেম প্রক্রিয়াগুলিকে ব্যাহত করতে পারে।

এই সত্ত্বেও, সাইবার নিরাপত্তা বিশেষজ্ঞরা আবিষ্কার করেছেন যে নেটিভ চীনা-ভাষী হুমকি অভিনেতারা কার্নেল-মোড ড্রাইভারগুলিতে স্বাক্ষর জাল করার জন্য মাইক্রোসফ্ট উইন্ডোজ নীতির একটি ফাঁকি ব্যবহার করছে। HotPage-এর বিশ্লেষণ, যা ম্যালওয়্যারের তুলনামূলকভাবে জেনেরিক টুকরা বলে মনে হয়, দেখায় যে অ্যাডওয়্যার বিকাশকারীরা তাদের উদ্দেশ্যগুলি অর্জনের জন্য অনেক সময় ধরে চলতে থাকে।