Malware HotPage
Výzkumníci v oblasti kybernetické bezpečnosti odhalili modul adwaru, který tvrdí, že blokuje reklamy a podvodné webové stránky. Tajně však instaluje komponentu ovladače jádra, která hackerům umožňuje spouštět libovolný kód se zvýšenými oprávněními na systémech Windows. Tento malware s názvem HotPage je identifikován svým instalačním souborem „HotPage.exe“.
Obsah
Jak funguje malware HotPage?
Instalační program nastaví ovladač, který dokáže vložit kód do vzdálených procesů, spolu se dvěma knihovnami, které zachycují a manipulují síťový provoz prohlížeče. Tento malware je schopen upravovat nebo nahrazovat obsah webových stránek, přesměrovávat uživatele na jiné stránky nebo otevírat nové karty na základě specifických podmínek.
Kromě využití funkcí zachycování provozu a filtrování k zobrazování reklam souvisejících s hrami je malware navržen tak, aby shromažďoval a přenášel systémové informace na vzdálený server propojený s čínskou společností Hubei Dunwang Network Technology Co., Ltd.
Hlavní funkcí ovladače je vložení těchto knihoven do aplikací prohlížeče, změna jejich spouštěcího toku, aby se změnila adresa URL, ke které se přistupuje, nebo aby byla domovská stránka nových relací prohlížeče přesměrována na adresu URL uvedenou v konfiguraci.
Útočníci by mohli získat oprávnění nejvyšší úrovně na infikovaných zařízeních
Nedostatek seznamů řízení přístupu (ACL) k ovladači umožňuje útočníkovi s neprivilegovaným účtem jej zneužít k získání zvýšených oprávnění, což jim umožní spouštět kód jako účet NT AUTHORITY\System.
Tato součást jádra neúmyslně vystavuje nejvyšší úroveň oprávnění ve Windows, systémový účet, potenciálním hrozbám. Kvůli neadekvátním omezením přístupu může jakýkoli proces interagovat s touto komponentou a využívat její schopnost vkládání kódu k cílení na nechráněné procesy.
I když přesná distribuční metoda instalačního programu není jasná, existují důkazy naznačující, že byl prodáván jako bezpečnostní řešení pro internetové kavárny a tvrdilo se, že zlepšuje zážitek z prohlížení tím, že blokuje reklamy.
HotPage Malware využívá podepsaný certifikát
Vložený ovladač tohoto malwaru je zvláště pozoruhodný, protože je podepsán společností Microsoft. Předpokládá se, že čínská společnost, která za tím stojí, splnila požadavky Microsoftu na podepisování kódu ovladače a získala certifikát Extended Verification (EV). Ovladač však byl odebrán z katalogu Windows Server k 1. květnu 2024.
Systém Windows vyžaduje, aby byly ovladače v režimu jádra digitálně podepsány jako kritické bezpečnostní opatření k ochraně před podvodnými ovladači, které by mohly narušit bezpečnostní kontroly a narušit systémové procesy.
Navzdory tomu odborníci na kybernetickou bezpečnost zjistili, že rodilí čínsky mluvící aktéři hrozeb využívají mezeru v politice Microsoft Windows k padělání podpisů na ovladačích v režimu jádra. Analýza HotPage, která se zdá být relativně generickým malwarem, ukazuje, že vývojáři adwaru pokračují ve velkém úsilí, aby dosáhli svých cílů.
