HotPage Malware
Cybersikkerhedsforskere har afsløret et adware-modul, der hævder at blokere reklamer og svigagtige websteder. Den installerer dog i hemmelighed en kernedriverkomponent, hvilket giver hackere mulighed for at udføre vilkårlig kode med forhøjede tilladelser på Windows-systemer. Denne malware, kaldet HotPage, identificeres af dens installationsfil, 'HotPage.exe.'
Indholdsfortegnelse
Hvordan fungerer HotPage-malwaren?
Installationsprogrammet opsætter en driver, der kan injicere kode i fjernprocesser, sammen med to biblioteker, der opsnapper og manipulerer browsernetværkstrafik. Denne malware er i stand til at ændre eller erstatte indholdet af websider, omdirigere brugere til forskellige sider eller åbne nye faner baseret på specifikke forhold.
Ud over at bruge dets trafikaflytning og -filtreringsfunktioner til at vise spilrelaterede annoncer, er malwaren designet til at indsamle og overføre systemoplysninger til en fjernserver, der er knyttet til Hubei Dunwang Network Technology Co., Ltd, en kinesisk virksomhed.
Driverens hovedfunktion er at injicere disse biblioteker i browserapplikationer, ændre deres eksekveringsflow for at ændre den tilgåede URL eller sikre, at hjemmesiden for nye browsersessioner omdirigeres til en URL angivet i dens konfiguration.
Angribere kan opnå privilegier på højeste niveau på inficerede enheder
Manglen på adgangskontrollister (ACL'er) for driveren gør det muligt for en hacker med en ikke-privilegeret konto at udnytte den til forhøjede privilegier, hvilket gør dem i stand til at udføre kode som NT AUTHORITY\System-kontoen.
Denne kernekomponent udsætter utilsigtet det højeste privilegieniveau i Windows, systemkontoen, for potentielle trusler. På grund af utilstrækkelige adgangsbegrænsninger kan enhver proces interagere med denne komponent og bruge dens kodeinjektionsevne til at målrette mod ubeskyttede processer.
Selvom installationsprogrammets nøjagtige distributionsmetode er uklar, er der beviser, der tyder på, at det er blevet markedsført som en sikkerhedsløsning til internetcaféer, der hævder at forbedre browsingoplevelsen ved at blokere afværgelser.
HotPage Malware udnytter underskrevet certifikat
Den indlejrede driver til denne malware er især bemærkelsesværdig, fordi den er signeret af Microsoft. Det kinesiske firma, der står bag, menes at have opfyldt Microsofts krav til chaufførkodesignering og opnået et Extended Verification (EV) certifikat. Driveren blev dog fjernet fra Windows Server-kataloget den 1. maj 2024.
Windows kræver, at drivere i kerneltilstand er digitalt signeret som en kritisk sikkerhedsforanstaltning for at beskytte mod svigagtige drivere, der kan underminere sikkerhedskontrol og forstyrre systemprocesser.
På trods af dette har cybersikkerhedseksperter opdaget, at indfødte kinesisktalende trusselsaktører udnytter et smuthul i Microsoft Windows-politikken til at forfalske signaturer på kernetilstandsdrivere. Analysen af HotPage, som ser ud til at være et relativt generisk stykke malware, viser, at adware-udviklere fortsætter med at gå meget langt for at nå deres mål.
