Laman Utama Hasad
Penyelidik keselamatan siber telah menemui modul perisian iklan yang mendakwa menyekat iklan dan tapak web penipuan. Walau bagaimanapun, ia secara rahsia memasang komponen pemacu kernel, membenarkan penggodam untuk melaksanakan kod sewenang-wenangnya dengan kebenaran tinggi pada sistem Windows. Perisian hasad ini, bernama HotPage, dikenal pasti melalui fail pemasangnya, 'HotPage.exe.'
Isi kandungan
Bagaimana Malware HotPage Beroperasi?
Pemasang menyediakan pemacu yang boleh menyuntik kod ke dalam proses jauh, bersama-sama dengan dua perpustakaan yang memintas dan memanipulasi trafik rangkaian penyemak imbas. Perisian hasad ini mampu mengubah suai atau menggantikan kandungan halaman Web, mengubah hala pengguna ke halaman berbeza atau membuka tab baharu berdasarkan syarat tertentu.
Selain menggunakan ciri pemintasan lalu lintas dan penapisan untuk memaparkan iklan berkaitan permainan, perisian hasad itu direka untuk mengumpul dan menghantar maklumat sistem ke pelayan jauh yang dipautkan ke Hubei Dunwang Network Technology Co., Ltd, sebuah syarikat China.
Fungsi utama pemandu adalah untuk menyuntik perpustakaan ini ke dalam aplikasi penyemak imbas, mengubah aliran pelaksanaannya untuk menukar URL yang diakses atau memastikan halaman utama sesi penyemak imbas baharu diubah hala ke URL yang ditentukan dalam konfigurasinya.
Penyerang boleh Mendapat Keistimewaan Tahap Tertinggi pada Peranti Yang Dijangkiti
Kekurangan senarai kawalan akses (ACL) untuk pemandu membenarkan penyerang dengan akaun bukan keistimewaan mengeksploitasinya untuk mendapatkan keistimewaan yang tinggi, membolehkan mereka melaksanakan kod sebagai akaun NT AUTHORITY\System.
Komponen kernel ini secara tidak sengaja mendedahkan tahap keistimewaan tertinggi dalam Windows, akaun Sistem, kepada potensi ancaman. Disebabkan oleh sekatan akses yang tidak mencukupi, sebarang proses boleh berinteraksi dengan komponen ini dan menggunakan keupayaan suntikan kodnya untuk menyasarkan proses yang tidak dilindungi.
Walaupun kaedah pengedaran tepat pemasang tidak jelas, terdapat bukti yang menunjukkan bahawa ia telah dipasarkan sebagai penyelesaian keselamatan untuk kafe internet, mendakwa meningkatkan pengalaman menyemak imbas dengan menyekat iklan.
Sijil Ditandatangani Malware Exploits HotPage
Pemacu terbenam perisian hasad ini amat ketara kerana ia ditandatangani oleh Microsoft. Syarikat China di belakangnya dipercayai telah memenuhi keperluan menandatangani kod pemandu Microsoft dan memperoleh sijil Pengesahan Lanjutan (EV). Walau bagaimanapun, pemandu telah dialih keluar daripada Katalog Pelayan Windows pada 1 Mei 2024.
Windows memerlukan pemacu mod kernel untuk ditandatangani secara digital sebagai langkah keselamatan kritikal untuk melindungi daripada pemandu penipuan yang boleh menjejaskan kawalan keselamatan dan mengganggu proses sistem.
Walaupun begitu, pakar keselamatan siber telah mendapati bahawa pelakon ancaman berbahasa Cina asli mengeksploitasi kelemahan dalam dasar Microsoft Windows untuk memalsukan tandatangan pada pemacu mod kernel. Analisis HotPage, yang nampaknya merupakan perisian hasad yang agak generik, menunjukkan bahawa pembangun perisian iklan terus berusaha keras untuk mencapai objektif mereka.
