תוכנה זדונית של HotPage
חוקרי אבטחת סייבר חשפו מודול תוכנת פרסום המתיימר לחסום פרסומות ואתרי הונאה. עם זאת, הוא מתקין בסתר רכיב מנהל התקן ליבה, המאפשר להאקרים לבצע קוד שרירותי עם הרשאות גבוהות במערכות Windows. תוכנה זדונית זו, בשם HotPage, מזוהה על ידי קובץ ההתקנה שלה, 'HotPage.exe'.
תוכן העניינים
כיצד פועלת התוכנה הזדונית של HotPage?
המתקין מגדיר מנהל התקן שיכול להחדיר קוד לתהליכים מרוחקים, יחד עם שתי ספריות שיירטות ומתפעלות את תעבורת הרשת של הדפדפן. תוכנה זדונית זו מסוגלת לשנות או להחליף את התוכן של דפי אינטרנט, להפנות משתמשים לדפים שונים או לפתוח כרטיסיות חדשות בהתבסס על תנאים ספציפיים.
בנוסף לשימוש בתכונות יירוט וסינון התעבורה שלה כדי להציג פרסומות הקשורות למשחקים, התוכנה הזדונית נועדה לאסוף ולשדר מידע מערכת לשרת מרוחק המקושר לחברה סינית Hubei Dunwang Network Technology Co., Ltd.
הפונקציה העיקרית של מנהל ההתקן היא להחדיר ספריות אלה ליישומי דפדפן, לשנות את זרימת הביצוע שלהן כדי לשנות את כתובת ה-URL שהגישה אליה היא ניגשת או להבטיח שדף הבית של הפעלות דפדפן חדשות יופנה לכתובת שצוינה בתצורתו.
תוקפים יכולים לקבל הרשאות ברמה הגבוהה ביותר במכשירים נגועים
היעדר רשימות בקרת גישה (ACLs) עבור מנהל ההתקן מאפשר לתוקף עם חשבון לא-פריבילגי לנצל אותו עבור הרשאות מוגברות, מה שמאפשר להם לבצע קוד כחשבון NT AUTHORITY\System.
רכיב ליבה זה חושף בטעות את רמת ההרשאות הגבוהה ביותר ב-Windows, חשבון המערכת, לאיומים פוטנציאליים. בשל הגבלות גישה לא נאותות, כל תהליך יכול ליצור אינטראקציה עם רכיב זה ולהשתמש ביכולת הזרקת הקוד שלו כדי למקד לתהליכים לא מוגנים.
אמנם שיטת ההפצה המדויקת של המתקין אינה ברורה, אך ישנן עדויות המצביעות על כך שהוא שווק כפתרון אבטחה לבתי קפה אינטרנט, בטענה שהוא משפר את חווית הגלישה על ידי חסימת הרחקות.
HotPage Malware מנצל אישור חתום
מנהל ההתקן המוטבע של תוכנה זדונית זו בולט במיוחד מכיוון שהוא חתום על ידי Microsoft. החברה הסינית שמאחוריה עמדה בדרישות חתימת קוד הנהג של מיקרוסופט והשיגה תעודת אימות מורחבת (EV). עם זאת, מנהל ההתקן הוסר מקטלוג Windows Server החל מ-1 במאי 2024.
Windows דורש מנהלי התקנים במצב ליבה להיות חתומים דיגיטלית כאמצעי אבטחה קריטי כדי להגן מפני מנהלי התקנים הונאה שעלולים לערער את בקרות האבטחה ולשבש תהליכי מערכת.
למרות זאת, מומחי אבטחת סייבר גילו שגורמי איומים דוברי סינית ילידים מנצלים פרצה במדיניות Microsoft Windows כדי לזייף חתימות על מנהלי התקנים במצב ליבה. הניתוח של HotPage, שנראה כתוכנה זדונית גנרית יחסית, מוכיח שמפתחי תוכנות פרסום ממשיכים לעשות מאמצים רבים כדי להשיג את מטרותיהם.
