Вредоносное ПО HotPage
Исследователи кибербезопасности обнаружили рекламный модуль, который блокирует рекламу и мошеннические веб-сайты. Однако он тайно устанавливает компонент драйвера ядра, позволяющий хакерам выполнять произвольный код с повышенными разрешениями в системах Windows. Это вредоносное ПО под названием HotPage идентифицируется по установочному файлу HotPage.exe.
Оглавление
Как работает вредоносное ПО HotPage?
Установщик устанавливает драйвер, который может внедрять код в удаленные процессы, а также две библиотеки, которые перехватывают сетевой трафик браузера и манипулируют им. Это вредоносное ПО способно изменять или заменять содержимое веб-страниц, перенаправлять пользователей на другие страницы или открывать новые вкладки в зависимости от определенных условий.
Помимо использования функций перехвата и фильтрации трафика для отображения рекламы, связанной с играми, вредоносное ПО предназначено для сбора и передачи системной информации на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd.
Основная функция драйвера — внедрить эти библиотеки в приложения браузера, изменяя поток их выполнения для изменения URL-адреса, к которому осуществляется доступ, или обеспечения перенаправления домашней страницы новых сеансов браузера на URL-адрес, указанный в его конфигурации.
Злоумышленники могут получить привилегии самого высокого уровня на зараженных устройствах
Отсутствие списков управления доступом (ACL) для драйвера позволяет злоумышленнику с непривилегированной учетной записью использовать его для получения повышенных привилегий, что позволяет ему выполнять код от имени учетной записи NT AUTHORITY\System.
Этот компонент ядра непреднамеренно предоставляет потенциальным угрозам самый высокий уровень привилегий в Windows — системную учетную запись. Из-за неадекватных ограничений доступа любой процесс может взаимодействовать с этим компонентом и использовать его возможности внедрения кода для атак на незащищенные процессы.
Хотя точный метод распространения установщика неясен, есть данные, свидетельствующие о том, что он позиционируется как решение безопасности для интернет-кафе, утверждая, что оно улучшает удобство просмотра за счет блокировки рекламы.
Вредоносное ПО HotPage использует подписанный сертификат
Встроенный драйвер этого вредоносного ПО особенно примечателен тем, что он подписан Microsoft. Считается, что китайская компания, стоящая за этим, выполнила требования Microsoft к подписи кода драйвера и получила сертификат расширенной проверки (EV). Однако 1 мая 2024 года драйвер был удален из каталога Windows Server.
Windows требует, чтобы драйверы режима ядра были подписаны цифровой подписью в качестве критической меры безопасности для защиты от мошеннических драйверов, которые могут подорвать контроль безопасности и нарушить системные процессы.
Несмотря на это, эксперты по кибербезопасности обнаружили, что злоумышленники, говорящие на китайском языке, используют лазейку в политике Microsoft Windows для подделки подписей на драйверах режима ядра. Анализ HotPage, который выглядит довольно распространенным вредоносным ПО, показывает, что разработчики рекламного ПО продолжают прикладывать все усилия для достижения своих целей.
