Programari maliciós HotPage
Els investigadors de ciberseguretat han descobert un mòdul d'adware que afirma bloquejar anuncis i llocs web fraudulents. Tanmateix, instal·la en secret un component del controlador del nucli, que permet als pirates informàtics executar codi arbitrari amb permisos elevats als sistemes Windows. Aquest programari maliciós, anomenat HotPage, s'identifica pel seu fitxer d'instal·lació, "HotPage.exe".
Taula de continguts
Com funciona el programari maliciós HotPage?
L'instal·lador configura un controlador que pot injectar codi en processos remots, juntament amb dues biblioteques que intercepten i manipulen el trànsit de la xarxa del navegador. Aquest programari maliciós és capaç de modificar o substituir el contingut de les pàgines web, redirigir els usuaris a diferents pàgines o obrir noves pestanyes en funció de condicions específiques.
A més d'utilitzar les seves funcions d'intercepció i filtratge de trànsit per mostrar anuncis relacionats amb jocs, el programari maliciós està dissenyat per recopilar i transmetre informació del sistema a un servidor remot vinculat a Hubei Dunwang Network Technology Co., Ltd, una empresa xinesa.
La funció principal del controlador és injectar aquestes biblioteques a les aplicacions del navegador, alterant el seu flux d'execució per canviar l'URL a què s'accedeix o assegurar-se que la pàgina d'inici de les sessions noves del navegador es redirigeix a una URL especificada a la seva configuració.
Els atacants podrien obtenir privilegis de més alt nivell en dispositius infectats
La manca de llistes de control d'accés (ACL) per al controlador permet que un atacant amb un compte no privilegiat l'exploti per obtenir privilegis elevats, cosa que els permet executar codi com el compte NT AUTHORITY\System.
Aquest component del nucli exposa sense voler el nivell de privilegi més alt de Windows, el compte del sistema, a possibles amenaces. A causa de restriccions d'accés inadequades, qualsevol procés pot interactuar amb aquest component i utilitzar la seva capacitat d'injecció de codi per orientar processos no protegits.
Tot i que el mètode de distribució exacte de l'instal·lador no està clar, hi ha proves que suggereixen que s'ha comercialitzat com una solució de seguretat per a cibercafès, que afirma millorar l'experiència de navegació bloquejant anuncis.
HotPage Malware Exploits Certificat signat
El controlador incrustat d'aquest programari maliciós és especialment notable perquè està signat per Microsoft. Es creu que l'empresa xinesa que hi ha al darrere ha complert els requisits de signatura del codi del conductor de Microsoft i ha obtingut un certificat de verificació ampliada (EV). Tanmateix, el controlador es va eliminar del catàleg de Windows Server a partir de l'1 de maig de 2024.
Windows requereix que els controladors en mode nucli estiguin signats digitalment com a mesura de seguretat crítica per protegir-se dels controladors fraudulents que podrien soscavar els controls de seguretat i interrompre els processos del sistema.
Malgrat això, els experts en ciberseguretat han descobert que els actors d'amenaces nadius de parla xinès estan explotant una llacuna a la política de Microsoft Windows per forjar signatures en controladors en mode nucli. L'anàlisi d'HotPage, que sembla ser una peça de programari maliciós relativament genèric, demostra que els desenvolupadors d'adware continuen fent tot el possible per assolir els seus objectius.
