بدافزار هات پیج

محققان امنیت سایبری یک ماژول نرم افزار تبلیغاتی را کشف کرده اند که ادعا می کند تبلیغات و وب سایت های تقلبی را مسدود می کند. با این حال، مخفیانه یک مؤلفه درایور هسته را نصب می کند و به هکرها اجازه می دهد کد دلخواه را با مجوزهای بالا در سیستم های ویندوز اجرا کنند. این بدافزار که HotPage نام دارد، با فایل نصب کننده آن، "HotPage.exe" شناسایی می شود.

بدافزار HotPage چگونه کار می کند؟

نصب کننده درایوری را تنظیم می کند که می تواند کد را به فرآیندهای راه دور تزریق کند، همراه با دو کتابخانه که ترافیک شبکه مرورگر را رهگیری و دستکاری می کند. این بدافزار قادر است محتوای صفحات وب را تغییر داده یا جایگزین کند، کاربران را به صفحات مختلف هدایت کند یا برگه های جدید را بر اساس شرایط خاص باز کند.

این بدافزار علاوه بر استفاده از ویژگی‌های رهگیری ترافیک و فیلتر کردن برای نمایش تبلیغات مربوط به بازی، برای جمع‌آوری و انتقال اطلاعات سیستم به یک سرور راه دور مرتبط با شرکت فناوری شبکه Hubei Dunwang، با مسئولیت محدود، طراحی شده است.

عملکرد اصلی درایور این است که این کتابخانه ها را به برنامه های مرورگر تزریق کند و جریان اجرای آنها را تغییر دهد تا URL دسترسی یافته را تغییر دهد یا اطمینان حاصل کند که صفحه اصلی جلسات جدید مرورگر به URL مشخص شده در پیکربندی آن هدایت می شود.

مهاجمان می توانند امتیازات بالاترین سطح را در دستگاه های آلوده به دست آورند

فقدان لیست‌های کنترل دسترسی (ACL) برای درایور به مهاجمی با یک حساب غیرمجاز اجازه می‌دهد تا از آن برای امتیازات بالا سوء استفاده کند و آنها را قادر می‌سازد تا کد را به عنوان حساب NT AUTHORITY\System اجرا کنند.

این جزء هسته به طور ناخواسته بالاترین سطح امتیاز در ویندوز، حساب سیستم را در معرض تهدیدات احتمالی قرار می دهد. به دلیل محدودیت‌های دسترسی ناکافی، هر فرآیندی می‌تواند با این مؤلفه تعامل داشته باشد و از قابلیت تزریق کد آن برای هدف‌گیری فرآیندهای محافظت‌نشده استفاده کند.

در حالی که روش توزیع دقیق نصب کننده نامشخص است، شواهدی وجود دارد که نشان می دهد به عنوان یک راه حل امنیتی برای کافی نت ها به بازار عرضه شده است و ادعا می کند که تجربه مرور را با مسدود کردن تبلیغات افزایش می دهد.

گواهی امضا شده توسط بدافزار HotPage

درایور تعبیه شده این بدافزار به ویژه قابل توجه است زیرا توسط مایکروسافت امضا شده است. گمان می‌رود که شرکت چینی پشت آن الزامات امضای کد راننده مایکروسافت را برآورده کرده و گواهی تأیید توسعه‌یافته (EV) را دریافت کرده است. با این حال، درایور از 1 می 2024 از کاتالوگ سرور ویندوز حذف شد.

ویندوز به درایورهای حالت هسته به امضای دیجیتالی نیاز دارد تا از درایورهای متقلبی که می‌توانند کنترل‌های امنیتی را تضعیف کرده و فرآیندهای سیستم را مختل کنند، محافظت کند.

با وجود این، کارشناسان امنیت سایبری کشف کرده‌اند که عوامل تهدید بومی چینی‌زبان از یک حفره در سیاست مایکروسافت ویندوز برای جعل امضا در درایورهای حالت هسته استفاده می‌کنند. تجزیه و تحلیل HotPage، که به نظر می‌رسد یک بدافزار نسبتاً عمومی است، نشان می‌دهد که توسعه‌دهندگان ابزارهای تبلیغاتی مزاحم همچنان برای رسیدن به اهداف خود تلاش زیادی می‌کنند.