HotPage Malware
Cybersäkerhetsforskare har upptäckt en annonsprogrammodul som påstår sig blockera annonser och bedrägliga webbplatser. Däremot installerar den i hemlighet en kärndrivrutinkomponent, vilket gör att hackare kan exekvera godtycklig kod med förhöjda behörigheter på Windows-system. Denna skadliga programvara, som heter HotPage, identifieras av dess installationsfil, 'HotPage.exe.'
Innehållsförteckning
Hur fungerar HotPage Malware?
Installationsprogrammet ställer in en drivrutin som kan injicera kod i fjärrprocesser, tillsammans med två bibliotek som fångar upp och manipulerar webbläsarnätverkstrafik. Denna skadliga programvara kan modifiera eller ersätta innehållet på webbsidor, omdirigera användare till olika sidor eller öppna nya flikar baserat på specifika förhållanden.
Förutom att använda sina trafikavlyssnings- och filtreringsfunktioner för att visa spelrelaterade annonser, är den skadliga programvaran utformad för att samla in och överföra systeminformation till en fjärrserver kopplad till Hubei Dunwang Network Technology Co., Ltd, ett kinesiskt företag.
Drivrutinens huvudfunktion är att injicera dessa bibliotek i webbläsarapplikationer, ändra deras exekveringsflöde för att ändra den åtkomliga URL-adressen eller se till att hemsidan för nya webbläsarsessioner omdirigeras till en URL som anges i dess konfiguration.
Angripare kan få högsta privilegier på infekterade enheter
Bristen på åtkomstkontrollistor (ACL) för föraren tillåter en angripare med ett icke-privilegierat konto att utnyttja det för förhöjda privilegier, vilket gör att de kan exekvera kod som kontot NT AUTHORITY\System.
Denna kärnkomponent exponerar oavsiktligt den högsta behörighetsnivån i Windows, systemkontot, för potentiella hot. På grund av otillräckliga åtkomstbegränsningar kan alla processer interagera med den här komponenten och använda dess kodinjiceringsförmåga för att rikta in sig på oskyddade processer.
Även om installationsprogrammets exakta distributionsmetod är oklar, finns det bevis som tyder på att det har marknadsförts som en säkerhetslösning för internetcaféer, som påstår sig förbättra webbupplevelsen genom att blockera averiseringar.
HotPage Malware utnyttjar signerat certifikat
Den inbäddade drivrutinen för denna skadliga programvara är särskilt anmärkningsvärd eftersom den är signerad av Microsoft. Det kinesiska företaget bakom tros ha uppfyllt Microsofts krav på signering av förarkod och fått ett Extended Verification (EV)-certifikat. Drivrutinen togs dock bort från Windows Server-katalogen den 1 maj 2024.
Windows kräver att drivrutiner i kärnläge är digitalt signerade som en kritisk säkerhetsåtgärd för att skydda mot bedrägliga drivrutiner som kan undergräva säkerhetskontroller och störa systemprocesser.
Trots detta har cybersäkerhetsexperter upptäckt att infödda kinesisktalande hotaktörer utnyttjar ett kryphål i Microsoft Windows-policy för att förfalska signaturer på drivrutiner i kärnläge. Analysen av HotPage, som verkar vara en relativt generisk skadlig programvara, visar att adware-utvecklare fortsätter att gå långt för att uppnå sina mål.
