ХотПаге Малваре
Истраживачи сајбер безбедности открили су модул рекламног софтвера који тврди да блокира рекламе и лажне веб странице. Међутим, тајно инсталира компоненту драјвера кернела, омогућавајући хакерима да извршавају произвољни код са повишеним дозволама на Виндовс системима. Овај малвер, назван ХотПаге, идентификује се по инсталационој датотеци „ХотПаге.еке“.
Преглед садржаја
Како функционише злонамерни софтвер ХотПаге?
Инсталатер поставља драјвер који може да убаци код у удаљене процесе, заједно са две библиотеке које пресрећу и манипулишу мрежним саобраћајем претраживача. Овај злонамерни софтвер може да мења или замени садржај веб страница, преусмерава кориснике на различите странице или отвара нове картице на основу специфичних услова.
Поред коришћења функција пресретања и филтрирања саобраћаја за приказивање реклама у вези са играма, малвер је дизајниран да прикупља и преноси системске информације на удаљени сервер повезан са Хубеи Дунванг Нетворк Тецхнологи Цо., Лтд, кинеском компанијом.
Главна функција драјвера је да убаци ове библиотеке у апликације претраживача, мењајући њихов ток извршавања да би променио приступну УРЛ адресу или обезбедио да почетна страница нових сесија прегледача буде преусмерена на УРЛ наведен у његовој конфигурацији.
Нападачи би могли да стекну привилегије највишег нивоа на зараженим уређајима
Недостатак листа контроле приступа (АЦЛ) за драјвер омогућава нападачу са непривилегованим налогом да га искористи за повишене привилегије, омогућавајући им да извршавају код као налог НТ АУТХОРИТИ\Систем.
Ова компонента кернела ненамерно излаже највиши ниво привилегија у Виндовс-у, системски налог, потенцијалним претњама. Због неадекватних ограничења приступа, сваки процес може да ступи у интеракцију са овом компонентом и да користи своју способност убризгавања кода за циљање незаштићених процеса.
Иако је тачан начин дистрибуције инсталатера нејасан, постоје докази који указују на то да се рекламирао као безбедносно решење за интернет кафее, тврдећи да побољшава искуство прегледања блокирањем реклама.
ХотПаге злонамерни софтвер експлоатише потписани сертификат
Уграђени драјвер овог малвера је посебно значајан јер га потписује Мицрософт. Верује се да је кинеска компанија која стоји иза тога испунила Мицрософтове захтеве за потписивање кода возача и добила сертификат проширене верификације (ЕВ). Међутим, управљачки програм је уклоњен из Виндовс Сервер каталога од 1. маја 2024.
Виндовс захтева да драјвери у режиму језгра буду дигитално потписани као критична безбедносна мера за заштиту од лажних драјвера који би могли да подрију безбедносне контроле и поремете системске процесе.
Упркос томе, стручњаци за сајбер безбедност су открили да актери претњи који говоре кинески изворни користе рупу у политици Мицрософт Виндовс-а да кривотворе потписе на драјверима режима језгра. Анализа ХотПаге-а, који се чини као релативно генерички део малвера, показује да програмери рекламног софтвера настављају да се труде да постигну своје циљеве.
