HotPage Malware
Os pesquisadores de segurança cibernética descobriram um módulo de adware que afirma bloquear anúncios e sites fraudulentos. No entanto, ele instala secretamente um componente de driver do kernel, permitindo que hackers executem código arbitrário com permissões elevadas em sistemas Windows. Este malware, denominado HotPage, é identificado por seu arquivo de instalação, ‘HotPage.exe’.
Índice
Como o HotPage Malware Funciona?
O instalador configura um driver que pode injetar código em processos remotos, juntamente com duas bibliotecas que interceptam e manipulam o tráfego de rede do navegador. Este malware é capaz de modificar ou substituir o conteúdo de páginas da Web, redirecionando usuários para páginas diferentes ou abrindo novas guias com base em condições específicas.
Além de usar seus recursos de interceptação e filtragem de tráfego para exibir anúncios relacionados a jogos, o malware foi projetado para coletar e transmitir informações do sistema a um servidor remoto vinculado à Hubei Dunwang Network Technology Co., Ltd, uma empresa chinesa.
A principal função do driver é injetar essas bibliotecas nas aplicações do navegador, alterando seu fluxo de execução para alterar a URL acessada ou garantir que a página inicial de novas sessões do navegador seja redirecionada para uma URL especificada em sua configuração.
Os Invasores podem Obter Privilégios de Nível Mais Alto nos Dispositivos Infectados
A falta de listas de controle de acesso (ACLs) para o driver permite que um invasor com uma conta sem privilégios o explore para obter privilégios elevados, permitindo-lhes executar código como a conta NT AUTHORITY\System.
Este componente do kernel expõe inadvertidamente o nível de privilégio mais alto do Windows, a conta do Sistema, a ameaças potenciais. Devido a restrições de acesso inadequadas, qualquer processo pode interagir com este componente e usar sua capacidade de injeção de código para atingir processos desprotegidos.
Embora o método exato de distribuição do instalador não seja claro, há evidências que sugerem que ele foi comercializado como uma solução de segurança para cibercafés, alegando melhorar a experiência de navegação ao bloquear anúncios.
O Certificado Assinado das Explorações do HotPage Malware
O driver incorporado deste malware é particularmente notável porque é assinado pela Microsoft. Acredita-se que a empresa chinesa por trás disso atendeu aos requisitos de assinatura de código de driver da Microsoft e obteve um certificado de Verificação Estendida (EV). No entanto, o driver foi removido do Catálogo do Windows Server em 1º de maio de 2024.
O Windows exige que os drivers de modo kernel sejam assinados digitalmente como uma medida de segurança crítica para proteção contra drivers fraudulentos que podem prejudicar os controles de segurança e interromper os processos do sistema.
Apesar disso, os especialistas em segurança cibernética descobriram que os agentes de ameaças nativos de língua chinesa estão explorando uma lacuna na política do Microsoft Windows para falsificar assinaturas em drivers de modo kernel. A análise do HotPage, que parece ser um malware relativamente genérico, demonstra que os desenvolvedores de adware continuam a fazer grandes esforços para atingir seus objetivos.
