HotPage Malware
Cybersikkerhetsforskere har avdekket en adware-modul som hevder å blokkere annonser og uredelige nettsteder. Imidlertid installerer den i hemmelighet en kjernedriverkomponent, slik at hackere kan kjøre vilkårlig kode med forhøyede tillatelser på Windows-systemer. Denne skadelige programvaren, kalt HotPage, identifiseres av installasjonsfilen, 'HotPage.exe.'
Innholdsfortegnelse
Hvordan fungerer HotPage Malware?
Installasjonsprogrammet setter opp en driver som kan injisere kode i eksterne prosesser, sammen med to biblioteker som fanger opp og manipulerer nettlesernettverkstrafikk. Denne skadelige programvaren er i stand til å endre eller erstatte innholdet på nettsider, omdirigere brukere til forskjellige sider eller åpne nye faner basert på spesifikke forhold.
I tillegg til å bruke trafikkavskjærings- og filtreringsfunksjonene for å vise spillrelaterte annonser, er skadelig programvare utviklet for å samle inn og overføre systeminformasjon til en ekstern server koblet til Hubei Dunwang Network Technology Co., Ltd, et kinesisk selskap.
Driverens hovedfunksjon er å injisere disse bibliotekene i nettleserapplikasjoner, endre kjøringsflyten deres for å endre den åpnede URL-en eller sikre at hjemmesiden til nye nettleserøkter blir omdirigert til en URL spesifisert i konfigurasjonen.
Angripere kan få privilegier på høyeste nivå på infiserte enheter
Mangelen på tilgangskontrolllister (ACLs) for driveren gjør at en angriper med en ikke-privilegert konto kan utnytte den for økte privilegier, noe som gjør dem i stand til å kjøre kode som NT AUTHORITY\System-kontoen.
Denne kjernekomponenten utsetter utilsiktet det høyeste privilegienivået i Windows, systemkontoen, for potensielle trusler. På grunn av utilstrekkelige tilgangsbegrensninger kan enhver prosess samhandle med denne komponenten og bruke dens kodeinjeksjonsevne til å målrette mot ubeskyttede prosesser.
Selv om den nøyaktige distribusjonsmetoden til installatøren er uklar, er det bevis som tyder på at den har blitt markedsført som en sikkerhetsløsning for internettkafeer, og hevder å forbedre nettleseropplevelsen ved å blokkere averiseringer.
HotPage Malware utnytter signert sertifikat
Den innebygde driveren for denne skadelige programvaren er spesielt bemerkelsesverdig fordi den er signert av Microsoft. Det kinesiske selskapet bak antas å ha oppfylt Microsofts krav til signering av driverkode og fått et Extended Verification (EV)-sertifikat. Imidlertid ble driveren fjernet fra Windows Server Catalog fra 1. mai 2024.
Windows krever at drivere i kjernemodus er digitalt signert som et kritisk sikkerhetstiltak for å beskytte mot uredelige drivere som kan undergrave sikkerhetskontroller og forstyrre systemprosesser.
Til tross for dette har cybersikkerhetseksperter oppdaget at innfødte kinesisktalende trusselaktører utnytter et smutthull i Microsoft Windows-policyen for å forfalske signaturer på kjernemodusdrivere. Analysen av HotPage, som ser ut til å være en relativt generisk del av skadelig programvare, viser at adware-utviklere fortsetter å strekke seg langt for å nå sine mål.
