Κακόβουλο λογισμικό HotPage
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια ενότητα adware που ισχυρίζεται ότι μπλοκάρει διαφημίσεις και δόλιες ιστοσελίδες. Ωστόσο, εγκαθιστά κρυφά ένα στοιχείο προγράμματος οδήγησης πυρήνα, επιτρέποντας στους χάκερ να εκτελούν αυθαίρετο κώδικα με αυξημένα δικαιώματα σε συστήματα Windows. Αυτό το κακόβουλο λογισμικό, που ονομάζεται HotPage, αναγνωρίζεται από το αρχείο εγκατάστασης του, "HotPage.exe".
Πίνακας περιεχομένων
Πώς λειτουργεί το κακόβουλο λογισμικό HotPage;
Το πρόγραμμα εγκατάστασης ρυθμίζει ένα πρόγραμμα οδήγησης που μπορεί να εισάγει κώδικα σε απομακρυσμένες διαδικασίες, μαζί με δύο βιβλιοθήκες που παρεμποδίζουν και χειρίζονται την κυκλοφορία του δικτύου του προγράμματος περιήγησης. Αυτό το κακόβουλο λογισμικό έχει τη δυνατότητα να τροποποιεί ή να αντικαθιστά το περιεχόμενο ιστοσελίδων, να ανακατευθύνει τους χρήστες σε διαφορετικές σελίδες ή να ανοίγει νέες καρτέλες βάσει συγκεκριμένων συνθηκών.
Εκτός από τη χρήση των δυνατοτήτων υποκλοπής κυκλοφορίας και φιλτραρίσματος για την προβολή διαφημίσεων που σχετίζονται με παιχνίδια, το κακόβουλο λογισμικό έχει σχεδιαστεί για να συλλέγει και να μεταδίδει πληροφορίες συστήματος σε έναν απομακρυσμένο διακομιστή που συνδέεται με την Hubei Dunwang Network Technology Co., Ltd, μια κινεζική εταιρεία.
Η κύρια λειτουργία του προγράμματος οδήγησης είναι να εισάγει αυτές τις βιβλιοθήκες σε εφαρμογές προγράμματος περιήγησης, αλλάζοντας τη ροή εκτέλεσής τους για να αλλάξει τη διεύθυνση URL στην οποία έχει πρόσβαση ή να διασφαλίσει ότι η αρχική σελίδα των νέων περιόδων λειτουργίας προγράμματος περιήγησης ανακατευθύνεται σε μια διεύθυνση URL που καθορίζεται στη διαμόρφωσή του.
Οι εισβολείς θα μπορούσαν να αποκτήσουν προνόμια υψηλότερου επιπέδου σε μολυσμένες συσκευές
Η έλλειψη λιστών ελέγχου πρόσβασης (ACL) για το πρόγραμμα οδήγησης επιτρέπει σε έναν εισβολέα με μη προνομιακό λογαριασμό να τον εκμεταλλευτεί για αυξημένα προνόμια, επιτρέποντάς του να εκτελεί κώδικα ως λογαριασμός NT AUTHORITY\System.
Αυτό το στοιχείο του πυρήνα εκθέτει κατά λάθος το υψηλότερο επίπεδο προνομίων στα Windows, τον λογαριασμό συστήματος, σε πιθανές απειλές. Λόγω ανεπαρκών περιορισμών πρόσβασης, οποιαδήποτε διεργασία μπορεί να αλληλεπιδράσει με αυτό το στοιχείο και να χρησιμοποιήσει την ικανότητα έγχυσης κώδικα για τη στόχευση μη προστατευμένων διεργασιών.
Αν και η ακριβής μέθοδος διανομής του προγράμματος εγκατάστασης είναι ασαφής, υπάρχουν στοιχεία που υποδηλώνουν ότι έχει διατεθεί στην αγορά ως λύση ασφαλείας για διαδικτυακά καφέ, ισχυριζόμενη ότι βελτιώνει την εμπειρία περιήγησης αποκλείοντας διαφημίσεις.
Υπογεγραμμένο πιστοποιητικό HotPage Malware Exploits
Το ενσωματωμένο πρόγραμμα οδήγησης αυτού του κακόβουλου λογισμικού είναι ιδιαίτερα αξιοσημείωτο επειδή είναι υπογεγραμμένο από τη Microsoft. Η κινεζική εταιρεία που βρίσκεται πίσω από αυτό πιστεύεται ότι έχει εκπληρώσει τις απαιτήσεις υπογραφής κώδικα προγράμματος οδήγησης της Microsoft και έχει λάβει πιστοποιητικό εκτεταμένης επαλήθευσης (EV). Ωστόσο, το πρόγραμμα οδήγησης καταργήθηκε από τον κατάλογο Windows Server από την 1η Μαΐου 2024.
Τα Windows απαιτούν την ψηφιακή υπογραφή των προγραμμάτων οδήγησης λειτουργίας πυρήνα ως κρίσιμο μέτρο ασφαλείας για την προστασία από δόλια προγράμματα οδήγησης που θα μπορούσαν να υπονομεύσουν τους ελέγχους ασφαλείας και να διαταράξουν τις διαδικασίες του συστήματος.
Παρόλα αυτά, οι ειδικοί στον κυβερνοχώρο ανακάλυψαν ότι οι εγγενείς κινεζόφωνοι φορείς απειλών εκμεταλλεύονται ένα κενό στην πολιτική των Microsoft Windows για να πλαστογραφήσουν υπογραφές σε προγράμματα οδήγησης λειτουργίας πυρήνα. Η ανάλυση του HotPage, το οποίο φαίνεται να είναι ένα σχετικά γενικό κομμάτι κακόβουλου λογισμικού, δείχνει ότι οι προγραμματιστές adware συνεχίζουν να καταβάλλουν κάθε δυνατή προσπάθεια για να επιτύχουν τους στόχους τους.
