Malware HotPage
I ricercatori di sicurezza informatica hanno scoperto un modulo adware che pretende di bloccare pubblicità e siti Web fraudolenti. Tuttavia, installa segretamente un componente del driver del kernel, consentendo agli hacker di eseguire codice arbitrario con autorizzazioni elevate sui sistemi Windows. Questo malware, denominato HotPage, è identificato dal file di installazione "HotPage.exe".
Sommario
Come funziona il malware HotPage?
Il programma di installazione configura un driver che può inserire codice nei processi remoti, insieme a due librerie che intercettano e manipolano il traffico di rete del browser. Questo malware è in grado di modificare o sostituire il contenuto delle pagine Web, reindirizzare gli utenti a pagine diverse o aprire nuove schede in base a condizioni specifiche.
Oltre a utilizzare le sue funzionalità di intercettazione e filtraggio del traffico per visualizzare annunci pubblicitari relativi ai giochi, il malware è progettato per raccogliere e trasmettere informazioni di sistema a un server remoto collegato a Hubei Dunwang Network Technology Co., Ltd, una società cinese.
La funzione principale del driver è quella di inserire queste librerie nelle applicazioni del browser, alterandone il flusso di esecuzione per modificare l'URL a cui si accede o garantire che la home page delle nuove sessioni del browser venga reindirizzata a un URL specificato nella sua configurazione.
Gli aggressori potrebbero ottenere privilegi di massimo livello sui dispositivi infetti
La mancanza di elenchi di controllo di accesso (ACL) per il driver consente a un utente malintenzionato con un account non privilegiato di sfruttarlo per privilegi elevati, consentendogli di eseguire codice come account NT AUTHORITY\System.
Questo componente del kernel espone inavvertitamente il livello di privilegio più alto in Windows, l'account di sistema, a potenziali minacce. A causa di restrizioni di accesso inadeguate, qualsiasi processo può interagire con questo componente e utilizzare la sua capacità di iniezione del codice per prendere di mira i processi non protetti.
Sebbene l'esatto metodo di distribuzione del programma di installazione non sia chiaro, ci sono prove che suggeriscono che sia stato commercializzato come soluzione di sicurezza per gli internet café, sostenendo di migliorare l'esperienza di navigazione bloccando gli annunci pubblicitari.
Certificato firmato per exploit malware di HotPage
Il driver incorporato di questo malware è particolarmente degno di nota perché è firmato da Microsoft. Si ritiene che l'azienda cinese dietro di esso abbia soddisfatto i requisiti di firma del codice driver di Microsoft e abbia ottenuto un certificato di verifica estesa (EV). Tuttavia, il driver è stato rimosso dal catalogo di Windows Server a partire dal 1 maggio 2024.
Windows richiede che i driver in modalità kernel siano firmati digitalmente come misura di sicurezza fondamentale per proteggersi da driver fraudolenti che potrebbero compromettere i controlli di sicurezza e interrompere i processi di sistema.
Nonostante ciò, gli esperti di sicurezza informatica hanno scoperto che gli autori di minacce di madrelingua cinese stanno sfruttando una lacuna nella politica di Microsoft Windows per falsificare le firme sui driver in modalità kernel. L'analisi di HotPage, che sembra essere un malware relativamente generico, dimostra che gli sviluppatori di adware continuano a fare di tutto per raggiungere i propri obiettivi.
