HotPage ļaunprātīga programmatūra
Kiberdrošības pētnieki ir atklājuši reklāmprogrammatūras moduli, kas apgalvo, ka bloķē reklāmas un krāpnieciskas vietnes. Tomēr tas slepeni instalē kodola draivera komponentu, ļaujot hakeriem izpildīt patvaļīgu kodu ar paaugstinātām atļaujām Windows sistēmās. Šī ļaunprogrammatūra ar nosaukumu HotPage tiek identificēta pēc tās instalēšanas faila HotPage.exe.
Satura rādītājs
Kā darbojas HotPage ļaunprogrammatūra?
Instalēšanas programma iestata draiveri, kas var ievadīt kodu attālos procesos, kā arī divas bibliotēkas, kas pārtver un manipulē pārlūkprogrammas tīkla trafiku. Šī ļaunprātīgā programmatūra var mainīt vai aizstāt Web lapu saturu, novirzīt lietotājus uz dažādām lapām vai atvērt jaunas cilnes, pamatojoties uz konkrētiem nosacījumiem.
Papildus trafika pārtveršanas un filtrēšanas funkciju izmantošanai, lai rādītu ar spēlēm saistītus sludinājumus, ļaunprogrammatūra ir paredzēta sistēmas informācijas apkopošanai un pārsūtīšanai uz attālo serveri, kas ir saistīts ar Ķīnas uzņēmumu Hubei Dunwang Network Technology Co., Ltd.
Draivera galvenā funkcija ir ievadīt šīs bibliotēkas pārlūkprogrammas lietojumprogrammās, mainot to izpildes plūsmu, lai mainītu pieejamo URL vai nodrošinātu, ka jauno pārlūkprogrammas sesiju sākumlapa tiek novirzīta uz tās konfigurācijā norādīto URL.
Uzbrucēji varētu iegūt augstākā līmeņa privilēģijas inficētajās ierīcēs
Piekļuves kontroles sarakstu (ACL) trūkums draiverim ļauj uzbrucējam ar priviliģētu kontu to izmantot, lai iegūtu paaugstinātas privilēģijas, ļaujot tiem izpildīt kodu kā NT AUTHORITY\System kontu.
Šis kodola komponents netīšām pakļauj iespējamiem draudiem augstāko privilēģiju līmeni sistēmā Windows, sistēmas kontu. Neatbilstošu piekļuves ierobežojumu dēļ jebkurš process var mijiedarboties ar šo komponentu un izmantot tā koda ievadīšanas iespēju, lai mērķētu uz neaizsargātiem procesiem.
Lai gan precīza instalētāja izplatīšanas metode nav skaidra, ir pierādījumi, kas liecina, ka tas ir ticis tirgots kā drošības risinājums interneta kafejnīcām, apgalvojot, ka tas uzlabo pārlūkošanas pieredzi, bloķējot sludinājumus.
HotPage ļaunprātīga programmatūra izmanto parakstīto sertifikātu
Šīs ļaunprogrammatūras iegultais draiveris ir īpaši ievērojams, jo to ir parakstījis Microsoft. Tiek uzskatīts, ka Ķīnas uzņēmums, kas atrodas aiz tā, ir izpildījis Microsoft draivera koda parakstīšanas prasības un ieguvis paplašinātās verifikācijas (EV) sertifikātu. Tomēr draiveris tika noņemts no Windows Server kataloga 2024. gada 1. maijā.
Sistēmai Windows ir nepieciešams, lai kodola režīma draiveri būtu digitāli parakstīti kā kritisks drošības pasākums, lai aizsargātos pret krāpnieciskiem draiveriem, kas varētu apdraudēt drošības kontroli un traucēt sistēmas procesus.
Neskatoties uz to, kiberdrošības eksperti ir atklājuši, ka ķīniešu valodā runājošie draudu dalībnieki izmanto Microsoft Windows politikas nepilnību, lai viltotu parakstus kodola režīma draiveros. HotPage, kas, šķiet, ir salīdzinoši vispārīgs ļaunprātīgas programmatūras gabals, analīze parāda, ka reklāmprogrammatūras izstrādātāji joprojām pieliek daudz pūļu, lai sasniegtu savus mērķus.
