HotPage-malware
Cybersecurity-onderzoekers hebben een adware-module ontdekt die beweert advertenties en frauduleuze websites te blokkeren. Het installeert echter in het geheim een kerneldrivercomponent, waardoor hackers willekeurige code met verhoogde rechten op Windows-systemen kunnen uitvoeren. Deze malware, genaamd HotPage, wordt geïdentificeerd door het installatiebestand 'HotPage.exe'.
Inhoudsopgave
Hoe werkt de HotPage-malware?
Het installatieprogramma stelt een stuurprogramma in dat code in externe processen kan injecteren, samen met twee bibliotheken die browsernetwerkverkeer onderscheppen en manipuleren. Deze malware kan de inhoud van webpagina's wijzigen of vervangen, gebruikers naar andere pagina's omleiden of nieuwe tabbladen openen op basis van specifieke omstandigheden.
Naast het gebruik van de functies voor het onderscheppen en filteren van verkeer om gamegerelateerde advertenties weer te geven, is de malware ontworpen om systeeminformatie te verzamelen en te verzenden naar een externe server die is gekoppeld aan Hubei Dunwang Network Technology Co., Ltd, een Chinees bedrijf.
De belangrijkste functie van het stuurprogramma is om deze bibliotheken in browserapplicaties te injecteren, waarbij de uitvoeringsstroom ervan wordt gewijzigd om de geopende URL te wijzigen of ervoor te zorgen dat de startpagina van nieuwe browsersessies wordt omgeleid naar een URL die is opgegeven in de configuratie ervan.
Aanvallers kunnen privileges op het hoogste niveau verkrijgen op geïnfecteerde apparaten
Door het ontbreken van toegangscontrolelijsten (ACL's) voor het stuurprogramma kan een aanvaller met een niet-bevoorrechte account het stuurprogramma misbruiken voor verhoogde bevoegdheden, waardoor hij code kan uitvoeren als het NT AUTHORITY\System-account.
Deze kernelcomponent stelt onbedoeld het hoogste privilegeniveau in Windows, het systeemaccount, bloot aan potentiële bedreigingen. Vanwege ontoereikende toegangsbeperkingen kan elk proces met dit onderdeel communiceren en de code-injectiemogelijkheid gebruiken om zich op onbeveiligde processen te richten.
Hoewel de exacte distributiemethode van het installatieprogramma onduidelijk is, zijn er aanwijzingen dat het op de markt is gebracht als een beveiligingsoplossing voor internetcafés, waarbij wordt beweerd dat het de surfervaring verbetert door advertenties te blokkeren.
HotPage Malware maakt gebruik van ondertekend certificaat
De ingebouwde driver van deze malware valt vooral op omdat deze is ondertekend door Microsoft. Het Chinese bedrijf erachter zou hebben voldaan aan de vereisten voor het ondertekenen van stuurprogrammacodes van Microsoft en een Extended Verification (EV)-certificaat hebben verkregen. Het stuurprogramma is echter vanaf 1 mei 2024 uit de Windows Server Catalog verwijderd.
Windows vereist dat stuurprogramma's in de kernelmodus digitaal worden ondertekend als een cruciale beveiligingsmaatregel om te beschermen tegen frauduleuze stuurprogramma's die de beveiligingscontroles kunnen ondermijnen en systeemprocessen kunnen verstoren.
Desondanks hebben cybersecurity-experts ontdekt dat native Chinees sprekende bedreigingsactoren een maas in het Microsoft Windows-beleid uitbuiten om handtekeningen op stuurprogramma's voor de kernelmodus te vervalsen. De analyse van HotPage, dat een relatief generiek stukje malware lijkt te zijn, toont aan dat adware-ontwikkelaars zich tot het uiterste blijven inspannen om hun doelstellingen te bereiken.
