हटपेज मालवेयर

साइबरसुरक्षा अनुसन्धानकर्ताहरूले एक एडवेयर मोड्युल पत्ता लगाएका छन् जसले विज्ञापनहरू र धोखाधडी वेबसाइटहरू ब्लक गर्ने दाबी गर्दछ। यद्यपि, यसले गोप्य रूपमा कर्नेल ड्राइभर कम्पोनेन्ट स्थापना गर्दछ, ह्याकरहरूलाई विन्डोज प्रणालीहरूमा उन्नत अनुमतिहरूको साथ मनमानी कोड कार्यान्वयन गर्न अनुमति दिन्छ। HotPage नामक यो मालवेयर यसको स्थापनाकर्ता फाइल 'HotPage.exe' द्वारा पहिचान गरिएको हो।

हटपेज मालवेयरले कसरी काम गर्छ?

स्थापनाकर्ताले ड्राइभर सेट अप गर्दछ जसले टाढाको प्रक्रियाहरूमा कोड इन्जेक्सन गर्न सक्छ, साथै ब्राउजर नेटवर्क ट्राफिकलाई अवरोध गर्ने र हेरफेर गर्ने दुई पुस्तकालयहरू। यो मालवेयरले वेब पृष्ठहरूको सामग्री परिमार्जन वा प्रतिस्थापन गर्न, प्रयोगकर्ताहरूलाई विभिन्न पृष्ठहरूमा रिडिरेक्ट गर्न, वा विशेष परिस्थितिहरूमा आधारित नयाँ ट्याबहरू खोल्न सक्षम छ।

खेल-सम्बन्धित विज्ञापनहरू प्रदर्शन गर्न यसको ट्राफिक अवरोध र फिल्टरिङ सुविधाहरू प्रयोग गर्नुको अतिरिक्त, मालवेयरले चिनियाँ कम्पनी हुबेई डनवाङ नेटवर्क टेक्नोलोजी कं, लिमिटेडसँग जोडिएको रिमोट सर्भरमा प्रणाली जानकारी सङ्कलन र प्रसारण गर्न डिजाइन गरिएको हो।

ड्राइभरको मुख्य कार्य भनेको ब्राउजर अनुप्रयोगहरूमा यी पुस्तकालयहरूलाई इन्जेक्सन गर्नु हो, पहुँच गरिएको URL परिवर्तन गर्नको लागि तिनीहरूको कार्यान्वयन प्रवाह परिवर्तन गर्दै वा नयाँ ब्राउजर सत्रहरूको गृहपृष्ठलाई यसको कन्फिगरेसनमा निर्दिष्ट गरिएको URL मा पुन: निर्देशित गरिएको सुनिश्चित गर्नु हो।

आक्रमणकारीहरूले संक्रमित यन्त्रहरूमा उच्च-स्तरीय विशेषाधिकारहरू प्राप्त गर्न सक्छन्

ड्राइभरका लागि पहुँच नियन्त्रण सूची (ACLs) को अभावले गैर-विशेषाधिकार प्राप्त खाता भएका आक्रमणकारीहरूलाई NT AUTHORITY\System खाताको रूपमा कोड कार्यान्वयन गर्न सक्षम पारेर, उन्नत विशेषाधिकारहरूको लागि शोषण गर्न अनुमति दिन्छ।

यो कर्नेल कम्पोनेन्टले अनजाने रूपमा विन्डोजमा उच्चतम विशेषाधिकार स्तर, प्रणाली खाता, सम्भावित खतराहरूमा उजागर गर्दछ। अपर्याप्त पहुँच प्रतिबन्धहरूको कारणले गर्दा, कुनै पनि प्रक्रियाले यस घटकसँग अन्तरक्रिया गर्न सक्छ र असुरक्षित प्रक्रियाहरूलाई लक्षित गर्न यसको कोड इंजेक्शन क्षमता प्रयोग गर्न सक्छ।

जबकि स्थापनाकर्ताको सही वितरण विधि अस्पष्ट छ, त्यहाँ प्रमाणहरू छन् कि यो इन्टरनेट क्याफेहरूको लागि सुरक्षा समाधानको रूपमा मार्केट गरिएको छ, विज्ञापनहरू रोकेर ब्राउजिङ अनुभव बृद्धि गर्ने दाबी गर्दै।

HotPage मालवेयरले हस्ताक्षर गरेको प्रमाणपत्रको शोषण गर्दछ

यस मालवेयरको इम्बेडेड ड्राइभर विशेष गरी उल्लेखनीय छ किनभने यो Microsoft द्वारा हस्ताक्षर गरिएको छ। यसको पछाडिको चिनियाँ कम्पनीले माइक्रोसफ्टको ड्राइभर कोड साइनिङ आवश्यकताहरू पूरा गरेको र विस्तारित प्रमाणीकरण (EV) प्रमाणपत्र प्राप्त गरेको विश्वास गरिन्छ। यद्यपि, ड्राइभरलाई मे १, २०२४ सम्म Windows सर्भर क्याटलगबाट हटाइयो।

विन्डोजले कर्नेल-मोड ड्राइभरहरूलाई सुरक्षा नियन्त्रणहरूलाई कमजोर पार्ने र प्रणाली प्रक्रियाहरूलाई बाधा पुर्‍याउन सक्ने धोखाधडी चालकहरूबाट जोगाउन महत्वपूर्ण सुरक्षा उपायको रूपमा डिजिटल रूपमा हस्ताक्षर गर्न आवश्यक छ।

यसका बावजुद, साइबरसुरक्षा विशेषज्ञहरूले पत्ता लगाएका छन् कि मूल चिनियाँ-भाषी खतरा अभिनेताहरूले कर्नेल-मोड ड्राइभरहरूमा हस्ताक्षरहरू जाली गर्न माइक्रोसफ्ट विन्डोज नीतिमा कमीकमजोरीको शोषण गरिरहेका छन्। HotPage को विश्लेषण, जुन मालवेयरको अपेक्षाकृत सामान्य टुक्रा जस्तो देखिन्छ, एडवेयर विकासकर्ताहरूले आफ्नो उद्देश्यहरू प्राप्त गर्न ठूलो लम्बाइमा जान जारी राख्छ भनेर देखाउँछ।