HotPage-haittaohjelma
Kyberturvallisuustutkijat ovat löytäneet mainosohjelmamoduulin, joka väittää estävän mainokset ja vilpilliset verkkosivustot. Se kuitenkin asentaa salaa ytimen ohjainkomponentin, jonka avulla hakkerit voivat suorittaa mielivaltaista koodia korotetuilla käyttöoikeuksilla Windows-järjestelmissä. Tämä HotPage-niminen haittaohjelma tunnistetaan sen asennustiedostosta HotPage.exe.
Sisällysluettelo
Kuinka HotPage-haittaohjelma toimii?
Asennusohjelma määrittää ohjaimen, joka voi syöttää koodia etäprosesseihin, sekä kaksi kirjastoa, jotka sieppaavat ja käsittelevät selaimen verkkoliikennettä. Tämä haittaohjelma pystyy muokkaamaan tai korvaamaan Web-sivujen sisältöä, ohjaamaan käyttäjiä eri sivuille tai avaamaan uusia välilehtiä tietyissä olosuhteissa.
Sen lisäksi, että haittaohjelma käyttää liikenteen sieppaus- ja suodatusominaisuuksia peleihin liittyvien mainosten näyttämiseen, se on suunniteltu keräämään ja lähettämään järjestelmätietoja etäpalvelimelle, joka on linkitetty kiinalaiseen Hubei Dunwang Network Technology Co., Ltd:hen.
Ohjaimen päätehtävänä on lisätä nämä kirjastot selainsovelluksiin muuttamalla niiden suorituskulkua käytettävän URL-osoitteen muuttamiseksi tai varmistaa, että uusien selainistuntojen kotisivu ohjataan sen määrityksissä määritettyyn URL-osoitteeseen.
Hyökkääjät voivat saada korkeimman tason oikeudet tartunnan saaneisiin laitteisiin
Ohjaimen pääsynvalvontaluetteloiden (ACL) puuttuminen antaa hyökkääjän, jolla ei ole etuoikeuksia, hyödyntää sitä korkeampien oikeuksien saamiseksi, jolloin hän voi suorittaa koodia NT AUTHORITY\System -tilinä.
Tämä ydinkomponentti altistaa vahingossa Windowsin korkeimman käyttöoikeustason, järjestelmätilin, mahdollisille uhille. Riittämättömien pääsyrajoitusten vuoksi mikä tahansa prosessi voi olla vuorovaikutuksessa tämän komponentin kanssa ja käyttää sen koodin lisäyskykyä suojaamattomien prosessien kohdistamiseen.
Vaikka asennusohjelman tarkka jakelutapa on epäselvä, on näyttöä siitä, että sitä on markkinoitu Internet-kahviloiden tietoturvaratkaisuna, jonka väitetään parantavan selauskokemusta estämällä ilmoitukset.
HotPage-haittaohjelma hyödyntää allekirjoitettua varmennetta
Tämän haittaohjelman sulautettu ohjain on erityisen merkittävä, koska se on Microsoftin allekirjoittama. Sen takana olevan kiinalaisen yrityksen uskotaan täyttäneen Microsoftin ohjainkoodin allekirjoitusvaatimukset ja hankkineen Extended Verification (EV) -sertifikaatin. Ohjain kuitenkin poistettiin Windows Server Catalogista 1. toukokuuta 2024 alkaen.
Windows vaatii ydintilan ajureiden digitaalista allekirjoitusta kriittisenä turvatoimena suojatakseen vilpillisiä ohjaimia, jotka voivat heikentää tietoturvan valvontaa ja häiritä järjestelmäprosesseja.
Tästä huolimatta kyberturvallisuusasiantuntijat ovat havainneet, että kiinaa äidinkielenään puhuvat uhkatoimijat käyttävät hyväkseen Microsoft Windows -käytännön porsaanreikää väärentääkseen allekirjoituksia ydintilan ohjaimille. Suhteellisen yleiseltä haittaohjelmalta vaikuttavan HotPagen analyysi osoittaa, että mainosohjelmien kehittäjät tekevät edelleen paljon töitä saavuttaakseen tavoitteensa.
