ਹੌਟਪੇਜ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਐਡਵੇਅਰ ਮਾਡਿਊਲ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਇਸ਼ਤਿਹਾਰਾਂ ਅਤੇ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਬਲੌਕ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਗੁਪਤ ਤੌਰ 'ਤੇ ਇੱਕ ਕਰਨਲ ਡ੍ਰਾਈਵਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਹੈਕਰਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਐਲੀਵੇਟਿਡ ਅਨੁਮਤੀਆਂ ਦੇ ਨਾਲ ਆਰਬਿਟਰੇਰੀ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਹੌਟਪੇਜ ਨਾਮਕ ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਇਸਦੀ ਇੰਸਟਾਲਰ ਫਾਈਲ 'HotPage.exe' ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਹੌਟਪੇਜ ਮਾਲਵੇਅਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ?
ਇੰਸਟੌਲਰ ਇੱਕ ਡ੍ਰਾਈਵਰ ਸੈਟ ਅਪ ਕਰਦਾ ਹੈ ਜੋ ਰਿਮੋਟ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰ ਸਕਦਾ ਹੈ, ਦੋ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦੇ ਨਾਲ ਜੋ ਬ੍ਰਾਊਜ਼ਰ ਨੈਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਦੀਆਂ ਅਤੇ ਹੇਰਾਫੇਰੀ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਮਾਲਵੇਅਰ ਵੈੱਬ ਪੰਨਿਆਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਸੋਧਣ ਜਾਂ ਬਦਲਣ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ, ਜਾਂ ਖਾਸ ਸ਼ਰਤਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਨਵੀਆਂ ਟੈਬਾਂ ਖੋਲ੍ਹਣ ਦੇ ਸਮਰੱਥ ਹੈ।
ਗੇਮ-ਸਬੰਧਤ ਇਸ਼ਤਿਹਾਰਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਇਸਦੇ ਟ੍ਰੈਫਿਕ ਇੰਟਰਸੈਪਸ਼ਨ ਅਤੇ ਫਿਲਟਰਿੰਗ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਨੂੰ ਚੀਨੀ ਕੰਪਨੀ ਹੁਬੇਈ ਡਨਵਾਂਗ ਨੈਟਵਰਕ ਟੈਕਨਾਲੋਜੀ ਕੰਪਨੀ, ਲਿਮਟਿਡ, ਨਾਲ ਜੁੜੇ ਰਿਮੋਟ ਸਰਵਰ ਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਡਰਾਈਵਰ ਦਾ ਮੁੱਖ ਕੰਮ ਇਹਨਾਂ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਬ੍ਰਾਊਜ਼ਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨਾ ਹੈ, ਐਕਸੈਸ ਕੀਤੇ URL ਨੂੰ ਬਦਲਣ ਜਾਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਨਵੇਂ ਬ੍ਰਾਊਜ਼ਰ ਸੈਸ਼ਨਾਂ ਦੇ ਹੋਮਪੇਜ ਨੂੰ ਇਸਦੀ ਸੰਰਚਨਾ ਵਿੱਚ ਨਿਰਦਿਸ਼ਟ URL ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਗਿਆ ਹੈ।
ਹਮਲਾਵਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਉੱਚ-ਪੱਧਰੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ
ਡਰਾਈਵਰ ਲਈ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ (ACLs) ਦੀ ਘਾਟ ਗੈਰ-ਅਧਿਕਾਰਤ ਖਾਤੇ ਵਾਲੇ ਹਮਲਾਵਰ ਨੂੰ ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਲਈ ਇਸਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ NT AUTHORITY\System ਖਾਤੇ ਵਜੋਂ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
ਇਹ ਕਰਨਲ ਕੰਪੋਨੈਂਟ ਅਣਜਾਣੇ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਸਭ ਤੋਂ ਉੱਚੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪੱਧਰ, ਸਿਸਟਮ ਖਾਤੇ ਨੂੰ ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਦਾ ਹੈ। ਨਾਕਾਫ਼ੀ ਪਹੁੰਚ ਪਾਬੰਦੀਆਂ ਦੇ ਕਾਰਨ, ਕੋਈ ਵੀ ਪ੍ਰਕਿਰਿਆ ਇਸ ਕੰਪੋਨੈਂਟ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਅਸੁਰੱਖਿਅਤ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇਸਦੀ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਸਮਰੱਥਾ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੀ ਹੈ।
ਹਾਲਾਂਕਿ ਇੰਸਟੌਲਰ ਦੀ ਸਹੀ ਵੰਡ ਵਿਧੀ ਅਸਪਸ਼ਟ ਹੈ, ਇਸ ਗੱਲ ਦਾ ਸਬੂਤ ਹੈ ਕਿ ਇਸ ਨੂੰ ਇੰਟਰਨੈੱਟ ਕੈਫੇ ਲਈ ਇੱਕ ਸੁਰੱਖਿਆ ਹੱਲ ਵਜੋਂ ਮਾਰਕੀਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸ਼ਤਿਹਾਰਾਂ ਨੂੰ ਬਲੌਕ ਕਰਕੇ ਬ੍ਰਾਊਜ਼ਿੰਗ ਅਨੁਭਵ ਨੂੰ ਵਧਾਉਣ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ।
ਹੌਟਪੇਜ ਮਾਲਵੇਅਰ ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ
ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਏਮਬੇਡਡ ਡਰਾਈਵਰ ਖਾਸ ਤੌਰ 'ਤੇ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿਉਂਕਿ ਇਹ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੁਆਰਾ ਹਸਤਾਖਰਿਤ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਸਦੇ ਪਿੱਛੇ ਚੀਨੀ ਕੰਪਨੀ ਨੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਦੇ ਡਰਾਈਵਰ ਕੋਡ ਸਾਈਨਿੰਗ ਜ਼ਰੂਰਤਾਂ ਨੂੰ ਪੂਰਾ ਕੀਤਾ ਹੈ ਅਤੇ ਇੱਕ ਐਕਸਟੈਂਡਡ ਵੈਰੀਫਿਕੇਸ਼ਨ (EV) ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਾਪਤ ਕੀਤਾ ਹੈ। ਹਾਲਾਂਕਿ, ਡਰਾਈਵਰ ਨੂੰ 1 ਮਈ, 2024 ਨੂੰ ਵਿੰਡੋਜ਼ ਸਰਵਰ ਕੈਟਾਲਾਗ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਸੀ।
ਵਿੰਡੋਜ਼ ਨੂੰ ਧੋਖੇਬਾਜ਼ ਡਰਾਈਵਰਾਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਉਪਾਅ ਵਜੋਂ ਕਰਨਲ-ਮੋਡ ਡਰਾਈਵਰਾਂ ਨੂੰ ਡਿਜੀਟਲ ਤੌਰ 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ ਜਾਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਜੋ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਵਿਗਾੜ ਸਕਦੇ ਹਨ।
ਇਸ ਦੇ ਬਾਵਜੂਦ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਹੈ ਕਿ ਮੂਲ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਕਰਨਲ-ਮੋਡ ਡਰਾਈਵਰਾਂ 'ਤੇ ਦਸਤਖਤ ਬਣਾਉਣ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਨੀਤੀ ਵਿੱਚ ਇੱਕ ਕਮੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ। ਹੌਟਪੇਜ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ, ਜੋ ਕਿ ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਮੁਕਾਬਲਤਨ ਆਮ ਟੁਕੜਾ ਜਾਪਦਾ ਹੈ, ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਐਡਵੇਅਰ ਡਿਵੈਲਪਰ ਆਪਣੇ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਬਹੁਤ ਲੰਬਾਈ ਤੱਕ ਜਾਣਾ ਜਾਰੀ ਰੱਖਦੇ ਹਨ।
