HotPage Malware

A kiberbiztonsági kutatók egy olyan adware modult fedeztek fel, amely állítása szerint blokkolja a hirdetéseket és a csaló weboldalakat. Mindazonáltal titokban telepít egy kernel-illesztőprogram-összetevőt, amely lehetővé teszi a hackerek számára, hogy tetszőleges kódot hajtsanak végre magasabb jogosultságokkal a Windows rendszereken. Ezt a HotPage nevű rosszindulatú programot a telepítőfájlja, a „HotPage.exe” azonosítja.

Hogyan működik a HotPage rosszindulatú program?

A telepítő beállít egy illesztőprogramot, amely kódot tud beilleszteni a távoli folyamatokba, valamint két könyvtárat, amelyek elfogják és manipulálják a böngésző hálózati forgalmát. Ez a rosszindulatú program képes módosítani vagy lecserélni a weboldalak tartalmát, átirányítani a felhasználókat más oldalakra, vagy új lapokat nyitni meghatározott feltételek alapján.

Amellett, hogy forgalomelfogó és szűrési funkcióit játékokkal kapcsolatos hirdetések megjelenítésére használja, a kártevő rendszerinformációkat gyűjt és továbbít a Hubei Dunwang Network Technology Co., Ltd. kínai vállalathoz kapcsolódó távoli szerverre.

Az illesztőprogram fő funkciója, hogy ezeket a könyvtárakat beillessze a böngészőalkalmazásokba, a végrehajtási folyamat megváltoztatásával az elért URL-cím módosításához, vagy biztosítsa, hogy az új böngészőmunkamenetek kezdőlapja a konfigurációjában megadott URL-re legyen átirányítva.

A támadók a legmagasabb szintű jogosultságokat szerezhetik meg a fertőzött eszközökön

Az illesztőprogram hozzáférés-vezérlési listáinak (ACL) hiánya lehetővé teszi a nem privilegizált fiókkal rendelkező támadók számára, hogy magasabb szintű jogosultságokat szerezzenek, lehetővé téve számukra, hogy NT AUTHORITY\System fiókként kódot hajtsanak végre.

Ez a kernelkomponens akaratlanul is a Windows legmagasabb jogosultsági szintjét, a rendszerfiókot teszi ki potenciális fenyegetéseknek. A nem megfelelő hozzáférési korlátozások miatt bármely folyamat kölcsönhatásba léphet ezzel az összetevővel, és kódbefecskendezési képességét használhatja a nem védett folyamatok megcélzására.

Bár a telepítő pontos terjesztési módja nem tisztázott, bizonyítékok utalnak arra, hogy az internetes kávézók biztonsági megoldásaként hozták forgalomba, és azt állítják, hogy a hirdetések blokkolásával javítja a böngészési élményt.

A HotPage malware kihasználja az aláírt tanúsítványt

Ennek a kártevőnek a beágyazott illesztőprogramja különösen figyelemre méltó, mivel a Microsoft aláírta. A mögötte álló kínai cég vélhetően teljesítette a Microsoft illesztőprogram-kód aláírási követelményeit, és megszerezte az Extended Verification (EV) tanúsítványt. Az illesztőprogramot azonban 2024. május 1-től eltávolították a Windows Server katalógusából.

A Windows megköveteli a kernel módú illesztőprogramok digitális aláírását, mint kritikus biztonsági intézkedést, hogy megvédje magát a csalárd illesztőprogramoktól, amelyek alááshatják a biztonsági ellenőrzéseket és megzavarhatják a rendszerfolyamatokat.

Ennek ellenére a kiberbiztonsági szakértők felfedezték, hogy a kínai anyanyelvű fenyegetés szereplői kihasználják a Microsoft Windows házirendjének egy kiskaput, hogy aláírásokat hamisítsanak a kernel módú illesztőprogramokon. A HotPage elemzése, amely egy viszonylag általános rosszindulatú programnak tűnik, azt mutatja, hogy a reklámprogram-fejlesztők továbbra is mindent megtesznek céljaik elérése érdekében.