Malware i HotPage
Studiuesit e sigurisë kibernetike kanë zbuluar një modul adware që pretendon se bllokon reklamat dhe faqet e internetit mashtruese. Megjithatë, ai instalon fshehurazi një komponent drejtues të kernelit, duke i lejuar hakerat të ekzekutojnë kode arbitrare me leje të ngritura në sistemet Windows. Ky malware, i quajtur HotPage, identifikohet nga skedari i tij instalues, 'HotPage.exe.'
Tabela e Përmbajtjes
Si funksionon malware i HotPage?
Instaluesi konfiguron një drejtues që mund të injektojë kodin në procese të largëta, së bashku me dy biblioteka që përgjojnë dhe manipulojnë trafikun e rrjetit të shfletuesit. Ky malware është në gjendje të modifikojë ose zëvendësojë përmbajtjen e faqeve të internetit, të ridrejtojë përdoruesit në faqe të ndryshme ose të hapë skeda të reja bazuar në kushte specifike.
Përveç përdorimit të veçorive të përgjimit dhe filtrimit të trafikut për të shfaqur reklama të lidhura me lojërat, malware është krijuar për të mbledhur dhe transmetuar informacione të sistemit në një server në distancë të lidhur me Hubei Dunwang Network Technology Co., Ltd, një kompani kineze.
Funksioni kryesor i drejtuesit është të injektojë këto biblioteka në aplikacionet e shfletuesit, duke ndryshuar rrjedhën e tyre të ekzekutimit për të ndryshuar URL-në e aksesuar ose për të siguruar që faqja kryesore e sesioneve të reja të shfletuesit të ridrejtohet në një URL të specifikuar në konfigurimin e tij.
Sulmuesit mund të fitojnë privilegje të nivelit më të lartë në pajisjet e infektuara
Mungesa e listave të kontrollit të aksesit (ACL) për drejtuesin i lejon një sulmuesi me një llogari jo të privilegjuar ta shfrytëzojë atë për privilegje të ngritura, duke i mundësuar ata të ekzekutojnë kodin si llogaria NT AUTHORITY\System.
Ky komponent i kernelit ekspozon pa dashje nivelin më të lartë të privilegjeve në Windows, llogarinë e Sistemit, ndaj kërcënimeve të mundshme. Për shkak të kufizimeve të pamjaftueshme të aksesit, çdo proces mund të ndërveprojë me këtë komponent dhe të përdorë aftësinë e tij të injektimit të kodit për të synuar proceset e pambrojtura.
Ndërsa metoda e saktë e shpërndarjes së instaluesit është e paqartë, ka prova që sugjerojnë se ai është shitur si një zgjidhje sigurie për internet kafenetë, duke pretenduar se përmirëson përvojën e shfletimit duke bllokuar reklamat.
Certifikata e nënshkruar e HotPage Malware Exploits
Drejtuesi i integruar i këtij malware është veçanërisht i dukshëm sepse është i nënshkruar nga Microsoft. Kompania kineze që qëndron pas saj besohet se ka përmbushur kërkesat e Microsoft për nënshkrimin e kodit të shoferit dhe ka marrë një certifikatë të Verifikimit të Zgjeruar (EV). Sidoqoftë, shoferi u hoq nga Katalogu i Windows Server që nga 1 maji 2024.
Windows kërkon që drejtuesit e modalitetit kernel të nënshkruhen në mënyrë dixhitale si një masë kritike sigurie për t'u mbrojtur nga drejtuesit mashtrues që mund të minojnë kontrollet e sigurisë dhe të prishin proceset e sistemit.
Pavarësisht kësaj, ekspertët e sigurisë kibernetike kanë zbuluar se aktorët vendas të kërcënimit që flasin kinezisht po shfrytëzojnë një boshllëk në politikën e Microsoft Windows për të falsifikuar nënshkrimet në drejtuesit e modalitetit kernel. Analiza e HotPage, e cila duket të jetë një pjesë relativisht e përgjithshme e malware, tregon se zhvilluesit e adware vazhdojnë të bëjnë përpjekje të mëdha për të arritur objektivat e tyre.
