Spicy Hot Pot Malware

Spicy Hot Pot Malware è un rootkit e un dirottatore del browser che reimposta la home page dell'utente su quella designata dall'aggressore. Include anche significative funzionalità invisibili per i suoi componenti, la persistenza del sistema e alcune funzionalità anti-sicurezza. Gli utenti Windows possono proteggersi rimuovendo Spicy Hot Pot Malware tramite soluzioni e software consigliati e dovrebbero riportare la loro home page alla normalità alla prima occasione.

Un dirottatore del browser più caldo del solito

I dirottatori del browser sono, per lo più, classificabili come programmi potenzialmente indesiderati o PUP: piccoli fastidi che trasmettono i loro sintomi attraverso estensioni e componenti aggiuntivi visibili. Spicy Hot Pot Malware è un'eccezione degna di nota che prende di mira i pirati cinesi di Windows con attacchi di dirottamento del browser insolitamente sofisticati. La struttura di questa minaccia la rende più simile a una minaccia di alto livello, in quanto rootkit in buona fede.

Sebbene tecnicamente adattabile ad altre regioni, la campagna di Spicy Hot Pot Malware si concentra sulla Cina, con funzionalità anti-AV e preferenze di lingua nella sua tattica di installazione utilizzando layout specifici per quel paese. La minaccia è un'apparente evoluzione di un vecchio rootkit e si integra con le crepe del software Windows. A causa dell'efficace mimetizzazione, come numerose firme di certificati digitali (anche se scadute), voci e file del Registro di sistema nascosti basati su rootkit e nomi e posizioni fuorvianti per i suoi componenti, Spicy Hot Pot Malware lascia pochi indizi per l'avviso della vittima.

Alla fine, i ricercatori di malware tracciano lo scopo principale di Spicy Hot Pot Malware nient'altro che il ripristino delle home page del browser dell'utente su domini (probabilmente danneggiati) a preferenza dell'attore della minaccia. Tuttavia, lungo la strada, Spicy Hot Pot Malware implementa anche altri attacchi:

• Carica i file di dump del sistema sul server C&C dell'attore della minaccia (probabilmente, per la correzione dei bug)
• Blocca attivamente i callback a prodotti di sicurezza e antivirus noti
• Può aggiornare automaticamente il caricamento pre-Windows, i driver rootkit e altri componenti
• Disabilita la funzione della modalità di ibernazione
• Utilizza un mini-filtro che può modificare o bloccare le richieste di input e output dell'utente

Ridurre il livello di spezie nel tuo browser

È interessante notare che le vittime hanno soluzioni alternative all'aspetto dei componenti nascosti delle funzionalità rootkit di Spicy Hot Pot Malware. Rinominando la directory WindowsApp, gli utenti possono rendere temporaneamente visibili i file che i driver rootkit nascondono. Gli utenti dovrebbero tenere presente che i file portano ancora nomi fuorvianti che si riferiscono a software legittimo. Inoltre, è necessario un ulteriore riavvio del sistema per disabilitare i driver ed eliminare i file.

Sebbene gli analisti di malware debbano ancora analizzare adeguatamente i siti promossi da Spicy Hot Pot Malware, la sofisticazione della sua campagna suggerisce significativi investimenti finanziari e competenze di programmazione. L'esposizione a siti Web affiliati a rootkit e altre minacce può portare i navigatori del Web in contatto con siti di phishing che imitano le pagine di accesso della banca, attacchi drive-by-download da Exploit Kit o schemi di guadagni pubblicitari pay-per-click. L'aggiornamento del software e la disabilitazione di funzionalità come JavaScript e Flash miglioreranno la protezione contro gli exploit basati sul browser.

Gli utenti dovrebbero anche evitare di dipendere dalle istruzioni di cui sopra per la rimozione totale di Spicy Hot Pot Malware. Aggirare le difese integrate di un rootkit non rimuoverà necessariamente tutti i file o le modifiche al sistema. Qualsiasi strategia per eliminare Spicy Hot Pot Malware dovrebbe includere soluzioni di sicurezza adeguate per determinare la presenza di altre minacce e componenti rimanenti.

Il resto del mondo dovrebbe considerarsi fortunato se Spicy Hot Pot Malware si accontenta di molestare le home page dei pirati cinesi di Windows. Che si tratti di denaro, spionaggio o altri motivi, Spicy Hot Pot Malware è uno strumento straordinariamente potente per l'obiettivo relativamente semplice di conquistare una home page.