HotPage Malware
Istraživači kibernetičke sigurnosti otkrili su adware modul koji tvrdi da blokira reklame i lažne web stranice. Međutim, potajno instalira komponentu upravljačkog programa kernela, dopuštajući hakerima da izvrše proizvoljan kod s povišenim dopuštenjima na Windows sustavima. Ovaj zlonamjerni softver, nazvan HotPage, prepoznaje se po instalacijskoj datoteci 'HotPage.exe'.
Sadržaj
Kako radi zlonamjerni softver HotPage?
Instalacijski program postavlja upravljački program koji može ubaciti kod u udaljene procese, zajedno s dvije biblioteke koje presreću i manipuliraju mrežnim prometom preglednika. Ovaj zlonamjerni softver može modificirati ili zamijeniti sadržaj web-stranica, preusmjeravati korisnike na različite stranice ili otvarati nove kartice na temelju određenih uvjeta.
Uz korištenje značajki presretanja prometa i filtriranja za prikaz oglasa povezanih s igrama, zlonamjerni je softver dizajniran za prikupljanje i prijenos informacija o sustavu na udaljeni poslužitelj povezan s kineskom tvrtkom Hubei Dunwang Network Technology Co., Ltd.
Glavna funkcija upravljačkog programa je ubacivanje ovih biblioteka u aplikacije preglednika, mijenjanje njihovog tijeka izvršenja kako bi se promijenio URL kojem se pristupa ili osiguralo da se početna stranica novih sesija preglednika preusmjeri na URL naveden u njegovoj konfiguraciji.
Napadači bi mogli dobiti privilegije najviše razine na zaraženim uređajima
Nedostatak popisa kontrole pristupa (ACL-ova) za upravljački program omogućuje napadaču s neprivilegiranim računom da ga iskoristi za povišene privilegije, omogućujući im da izvršavaju kod kao račun NT AUTHORITY\System.
Ova komponenta kernela nenamjerno izlaže najvišu razinu povlastica u sustavu Windows, račun sustava, potencijalnim prijetnjama. Zbog neadekvatnih ograničenja pristupa, bilo koji proces može komunicirati s ovom komponentom i koristiti njezinu sposobnost ubacivanja koda za ciljanje nezaštićenih procesa.
Iako je točna metoda distribucije programa za instalaciju nejasna, postoje dokazi koji sugeriraju da se reklamirao kao sigurnosno rješenje za internetske kafiće, tvrdeći da poboljšava iskustvo pregledavanja blokiranjem reklama.
Potpisani certifikat HotPage zlonamjernog softvera
Ugrađeni upravljački program ovog zlonamjernog softvera posebno je značajan jer ga potpisuje Microsoft. Vjeruje se da je kineska tvrtka koja stoji iza njega ispunila Microsoftove zahtjeve za potpisivanje koda upravljačkog programa i dobila certifikat za proširenu provjeru (EV). Međutim, upravljački program je uklonjen iz Windows Server kataloga od 1. svibnja 2024.
Windows zahtijeva da upravljački programi za način rada jezgre budu digitalno potpisani kao kritična sigurnosna mjera za zaštitu od lažnih upravljačkih programa koji bi mogli potkopati sigurnosne kontrole i poremetiti sistemske procese.
Unatoč tome, stručnjaci za kibernetičku sigurnost otkrili su da akteri prijetnji kojima je izvorni kineski jezik iskorištavaju rupu u politici sustava Microsoft Windows za lažiranje potpisa na upravljačkim programima u načinu rada jezgre. Analiza HotPagea, za koji se čini da je relativno generički komad zlonamjernog softvera, pokazuje da se razvijači adwarea nastavljaju jako truditi kako bi postigli svoje ciljeve.
