Złośliwe oprogramowanie HotPage
Badacze zajmujący się cyberbezpieczeństwem odkryli moduł oprogramowania reklamowego, który rzekomo blokuje reklamy i fałszywe strony internetowe. Jednak potajemnie instaluje komponent sterownika jądra, umożliwiając hakerom wykonanie dowolnego kodu z podwyższonymi uprawnieniami w systemach Windows. To złośliwe oprogramowanie o nazwie HotPage jest identyfikowane po pliku instalacyjnym „HotPage.exe”.
Spis treści
Jak działa złośliwe oprogramowanie HotPage?
Instalator konfiguruje sterownik, który może wstrzykiwać kod do zdalnych procesów, wraz z dwiema bibliotekami, które przechwytują i manipulują ruchem sieciowym przeglądarki. Szkodnik ten potrafi modyfikować lub zastępować zawartość stron internetowych, przekierowywać użytkowników na inne strony lub otwierać nowe karty w oparciu o określone warunki.
Oprócz wykorzystywania funkcji przechwytywania ruchu i filtrowania ruchu do wyświetlania reklam związanych z grami, szkodliwe oprogramowanie służy do zbierania i przesyłania informacji systemowych do zdalnego serwera połączonego z chińską firmą Hubei Dunwang Network Technology Co., Ltd.
Główną funkcją sterownika jest wstrzykiwanie tych bibliotek do aplikacji przeglądarkowych, zmieniając sposób ich wykonywania w celu zmiany otwieranego adresu URL lub zapewnienia, że strona główna nowych sesji przeglądarki zostanie przekierowana na adres URL określony w jej konfiguracji.
Osoby atakujące mogą uzyskać uprawnienia najwyższego poziomu na zainfekowanych urządzeniach
Brak list kontroli dostępu (ACL) dla sterownika umożliwia atakującemu posiadającemu nieuprzywilejowane konto wykorzystanie go w celu uzyskania podwyższonych uprawnień, umożliwiając wykonanie kodu jako konto NT AUTHORITY\System.
Ten składnik jądra nieumyślnie naraża najwyższy poziom uprawnień w systemie Windows, konto System, na potencjalne zagrożenia. Ze względu na nieodpowiednie ograniczenia dostępu każdy proces może wchodzić w interakcję z tym komponentem i wykorzystywać jego funkcję wstrzykiwania kodu do atakowania niechronionych procesów.
Chociaż dokładna metoda dystrybucji instalatora nie jest jasna, istnieją dowody sugerujące, że był on reklamowany jako rozwiązanie zabezpieczające dla kafejek internetowych, rzekomo poprawiające jakość przeglądania poprzez blokowanie reklam.
Złośliwe oprogramowanie HotPage wykorzystuje podpisany certyfikat
Wbudowany sterownik tego szkodliwego oprogramowania jest szczególnie godny uwagi, ponieważ jest podpisany przez firmę Microsoft. Uważa się, że stojąca za tym chińska firma spełniła wymagania firmy Microsoft dotyczące podpisywania kodu sterowników i uzyskała certyfikat rozszerzonej weryfikacji (EV). Jednak sterownik został usunięty z katalogu systemu Windows Server z dniem 1 maja 2024 r.
System Windows wymaga, aby sterowniki trybu jądra były podpisane cyfrowo, co stanowi krytyczny środek bezpieczeństwa chroniący przed fałszywymi sterownikami, które mogą podważyć mechanizmy kontroli bezpieczeństwa i zakłócić procesy systemowe.
Mimo to eksperci ds. cyberbezpieczeństwa odkryli, że rodzimi, chińskojęzyczni ugrupowania cyberprzestępcze wykorzystują lukę w zasadach systemu Microsoft Windows do fałszowania podpisów sterowników trybu jądra. Analiza HotPage, który wydaje się być stosunkowo ogólnym złośliwym oprogramowaniem, pokazuje, że twórcy oprogramowania typu adware w dalszym ciągu dokładają wszelkich starań, aby osiągnąć swoje cele.
