HotPage Malware
Cercetătorii în domeniul securității cibernetice au descoperit un modul adware care pretinde că blochează reclamele și site-urile web frauduloase. Cu toate acestea, instalează în secret o componentă a driverului nucleului, permițând hackerilor să execute cod arbitrar cu permisiuni ridicate pe sistemele Windows. Acest malware, numit HotPage, este identificat prin fișierul său de instalare, „HotPage.exe”.
Cuprins
Cum funcționează programul malware HotPage?
Programul de instalare configurează un driver care poate injecta cod în procesele de la distanță, împreună cu două biblioteci care interceptează și manipulează traficul de rețea a browserului. Acest malware este capabil să modifice sau să înlocuiască conținutul paginilor Web, să redirecționeze utilizatorii către diferite pagini sau să deschidă noi file în funcție de condiții specifice.
Pe lângă utilizarea funcțiilor sale de interceptare și filtrare a traficului pentru a afișa reclame legate de jocuri, malware-ul este conceput pentru a colecta și transmite informații despre sistem către un server de la distanță conectat la Hubei Dunwang Network Technology Co., Ltd, o companie chineză.
Funcția principală a driverului este de a injecta aceste biblioteci în aplicațiile browser, modificând fluxul lor de execuție pentru a modifica adresa URL accesată sau pentru a se asigura că pagina de pornire a noilor sesiuni de browser este redirecționată către o adresă URL specificată în configurația sa.
Atacatorii ar putea obține privilegii de cel mai înalt nivel pe dispozitivele infectate
Lipsa listelor de control al accesului (ACL) pentru driver permite unui atacator cu un cont neprivilegiat să-l exploateze pentru privilegii ridicate, permițându-le să execute cod ca NT AUTHORITY\System account.
Această componentă a nucleului expune, din neatenție, cel mai înalt nivel de privilegii din Windows, contul de sistem, la potențiale amenințări. Din cauza restricțiilor de acces inadecvate, orice proces poate interacționa cu această componentă și poate folosi capacitatea sa de injectare a codului pentru a viza procesele neprotejate.
Deși metoda exactă de distribuție a programului de instalare este neclară, există dovezi care sugerează că acesta a fost comercializat ca o soluție de securitate pentru cafenele internet, pretinzând că îmbunătățește experiența de navigare prin blocarea reclamelor.
HotPage Malware Exploits Certificat semnat
Driverul încorporat al acestui malware este deosebit de remarcabil deoarece este semnat de Microsoft. Se crede că compania chineză din spatele acestuia a îndeplinit cerințele Microsoft de semnare a codului de șofer și a obținut un certificat de verificare extinsă (EV). Cu toate acestea, driverul a fost eliminat din Catalogul Windows Server începând cu 1 mai 2024.
Windows cere ca driverele în modul kernel să fie semnate digital ca măsură de securitate critică pentru a se proteja împotriva driverelor frauduloase care ar putea submina controalele de securitate și ar putea perturba procesele sistemului.
În ciuda acestui fapt, experții în securitate cibernetică au descoperit că actorii amenințărilor vorbitori nativi de limbă chineză exploatează o lacună în politica Microsoft Windows pentru a falsifica semnături pe driverele în modul kernel. Analiza HotPage, care pare a fi un program malware relativ generic, demonstrează că dezvoltatorii de adware continuă să facă tot posibilul pentru a-și atinge obiectivele.
