हॉटपेज मैलवेयर
साइबरसिक्यूरिटी शोधकर्ताओं ने एक एडवेयर मॉड्यूल का पता लगाया है जो विज्ञापनों और धोखाधड़ी वाली वेबसाइटों को ब्लॉक करने का दावा करता है। हालाँकि, यह गुप्त रूप से एक कर्नेल ड्राइवर घटक स्थापित करता है, जिससे हैकर्स विंडोज सिस्टम पर उन्नत अनुमतियों के साथ मनमाना कोड निष्पादित कर सकते हैं। हॉटपेज नामक इस मैलवेयर की पहचान इसकी इंस्टॉलर फ़ाइल 'HotPage.exe' से होती है।
विषयसूची
हॉटपेज मैलवेयर कैसे काम करता है?
इंस्टॉलर एक ड्राइवर सेट करता है जो रिमोट प्रोसेस में कोड इंजेक्ट कर सकता है, साथ ही दो लाइब्रेरीज़ जो ब्राउज़र नेटवर्क ट्रैफ़िक को इंटरसेप्ट और मैनिपुलेट करती हैं। यह मैलवेयर वेब पेजों की सामग्री को संशोधित या बदलने, उपयोगकर्ताओं को अलग-अलग पेजों पर रीडायरेक्ट करने या विशिष्ट स्थितियों के आधार पर नए टैब खोलने में सक्षम है।
गेम से संबंधित विज्ञापन प्रदर्शित करने के लिए अपने ट्रैफिक अवरोधन और फ़िल्टरिंग सुविधाओं का उपयोग करने के अलावा, मैलवेयर को सिस्टम जानकारी एकत्र करने और उसे एक चीनी कंपनी हुबेई डुनवांग नेटवर्क टेक्नोलॉजी कंपनी लिमिटेड से जुड़े एक दूरस्थ सर्वर पर संचारित करने के लिए डिज़ाइन किया गया है।
ड्राइवर का मुख्य कार्य इन लाइब्रेरीज़ को ब्राउज़र अनुप्रयोगों में डालना, उनके निष्पादन प्रवाह में परिवर्तन करना है, ताकि एक्सेस किए गए URL को बदला जा सके या यह सुनिश्चित किया जा सके कि नए ब्राउज़र सत्रों का होमपेज उसके कॉन्फ़िगरेशन में निर्दिष्ट URL पर पुनर्निर्देशित हो।
हमलावर संक्रमित डिवाइस पर उच्चतम-स्तरीय विशेषाधिकार प्राप्त कर सकते हैं
ड्राइवर के लिए एक्सेस कंट्रोल लिस्ट (ACL) की कमी, गैर-विशेषाधिकार प्राप्त खाते वाले हमलावर को उन्नत विशेषाधिकारों के लिए इसका फायदा उठाने की अनुमति देती है, जिससे वे NT AUTHORITY\System खाते के रूप में कोड निष्पादित करने में सक्षम हो जाते हैं।
यह कर्नेल घटक अनजाने में विंडोज में उच्चतम विशेषाधिकार स्तर, सिस्टम खाते को संभावित खतरों के लिए उजागर करता है। अपर्याप्त पहुँच प्रतिबंधों के कारण, कोई भी प्रक्रिया इस घटक के साथ बातचीत कर सकती है और असुरक्षित प्रक्रियाओं को लक्षित करने के लिए इसकी कोड इंजेक्शन क्षमता का उपयोग कर सकती है।
हालांकि इंस्टॉलर की सटीक वितरण पद्धति स्पष्ट नहीं है, लेकिन ऐसे साक्ष्य मौजूद हैं जो बताते हैं कि इसे इंटरनेट कैफे के लिए सुरक्षा समाधान के रूप में विपणन किया गया है, जिसमें विज्ञापनों को अवरुद्ध करके ब्राउज़िंग अनुभव को बढ़ाने का दावा किया गया है।
हॉटपेज मैलवेयर हस्ताक्षरित प्रमाणपत्र का दुरुपयोग करता है
इस मैलवेयर का एम्बेडेड ड्राइवर विशेष रूप से उल्लेखनीय है क्योंकि यह Microsoft द्वारा हस्ताक्षरित है। माना जाता है कि इसके पीछे की चीनी कंपनी ने Microsoft की ड्राइवर कोड साइनिंग आवश्यकताओं को पूरा किया है और एक विस्तारित सत्यापन (EV) प्रमाणपत्र प्राप्त किया है। हालाँकि, ड्राइवर को 1 मई, 2024 तक विंडोज सर्वर कैटलॉग से हटा दिया गया था।
विंडोज़ के लिए कर्नेल-मोड ड्राइवरों को डिजिटल रूप से हस्ताक्षरित होना आवश्यक है, जो एक महत्वपूर्ण सुरक्षा उपाय है, ताकि धोखाधड़ी वाले ड्राइवरों से बचा जा सके, जो सुरक्षा नियंत्रणों को कमजोर कर सकते हैं और सिस्टम प्रक्रियाओं को बाधित कर सकते हैं।
इसके बावजूद, साइबर सुरक्षा विशेषज्ञों ने पाया है कि चीनी भाषा बोलने वाले मूल निवासी खतरे वाले अभिनेता कर्नेल-मोड ड्राइवरों पर हस्ताक्षर बनाने के लिए Microsoft Windows नीति में एक खामी का फायदा उठा रहे हैं। हॉटपेज का विश्लेषण, जो मैलवेयर का एक अपेक्षाकृत सामान्य टुकड़ा प्रतीत होता है, दर्शाता है कि एडवेयर डेवलपर्स अपने उद्देश्यों को प्राप्त करने के लिए बहुत आगे तक जाते रहते हैं।
