มัลแวร์ HotPage

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโมดูลแอดแวร์ที่อ้างว่าบล็อกโฆษณาและเว็บไซต์หลอกลวง อย่างไรก็ตาม มันแอบติดตั้งส่วนประกอบไดรเวอร์เคอร์เนล ทำให้แฮกเกอร์สามารถรันโค้ดโดยอำเภอใจด้วยสิทธิ์ระดับสูงบนระบบ Windows มัลแวร์นี้ชื่อ HotPage ถูกระบุโดยไฟล์ติดตั้ง 'HotPage.exe'

มัลแวร์ HotPage ทำงานอย่างไร?

โปรแกรมติดตั้งจะตั้งค่าไดรเวอร์ที่สามารถแทรกโค้ดลงในกระบวนการระยะไกล พร้อมกับไลบรารีสองตัวที่ดักจับและจัดการการรับส่งข้อมูลเครือข่ายเบราว์เซอร์ มัลแวร์นี้สามารถแก้ไขหรือแทนที่เนื้อหาของเว็บเพจ เปลี่ยนเส้นทางผู้ใช้ไปยังหน้าอื่น หรือเปิดแท็บใหม่ตามเงื่อนไขเฉพาะ

นอกเหนือจากการใช้คุณสมบัติการสกัดกั้นการรับส่งข้อมูลและการกรองเพื่อแสดงโฆษณาที่เกี่ยวข้องกับเกม มัลแวร์ยังได้รับการออกแบบมาเพื่อรวบรวมและส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ระยะไกลที่เชื่อมโยงกับ Hubei Dunwang Network Technology Co., Ltd ซึ่งเป็นบริษัทของจีน

ฟังก์ชันหลักของไดรเวอร์คือการแทรกไลบรารีเหล่านี้ลงในแอปพลิเคชันเบราว์เซอร์ เปลี่ยนขั้นตอนการดำเนินการเพื่อเปลี่ยน URL ที่เข้าถึง หรือตรวจสอบให้แน่ใจว่าหน้าแรกของเซสชันเบราว์เซอร์ใหม่ถูกเปลี่ยนเส้นทางไปยัง URL ที่ระบุในการกำหนดค่า

ผู้โจมตีสามารถรับสิทธิพิเศษระดับสูงสุดบนอุปกรณ์ที่ติดไวรัส

การไม่มีรายการควบคุมการเข้าถึง (ACL) สำหรับไดรเวอร์ทำให้ผู้โจมตีที่มีบัญชีที่ไม่มีสิทธิ์สามารถใช้ประโยชน์จากสิทธิ์ดังกล่าวเพื่อยกระดับสิทธิ์ได้ ทำให้พวกเขาสามารถรันโค้ดเป็นบัญชี NT AUTHORITY\System

ส่วนประกอบเคอร์เนลนี้เปิดเผยระดับสิทธิ์การใช้งานสูงสุดใน Windows ซึ่งเป็นบัญชีระบบโดยไม่ได้ตั้งใจต่อภัยคุกคามที่อาจเกิดขึ้น เนื่องจากข้อจำกัดในการเข้าถึงที่ไม่เพียงพอ กระบวนการใดๆ ก็สามารถโต้ตอบกับส่วนประกอบนี้ได้ และใช้ความสามารถในการแทรกโค้ดเพื่อกำหนดเป้าหมายกระบวนการที่ไม่ได้รับการป้องกัน

แม้ว่าวิธีการกระจายตัวติดตั้งที่แน่นอนจะไม่ชัดเจน แต่ก็มีหลักฐานที่บ่งชี้ว่ามันถูกวางตลาดเป็นโซลูชั่นรักษาความปลอดภัยสำหรับร้านอินเทอร์เน็ต โดยอ้างว่าเพื่อปรับปรุงประสบการณ์การท่องเว็บโดยการปิดกั้นโฆษณา

มัลแวร์ HotPage ใช้ประโยชน์จากใบรับรองที่ลงนาม

ไดรเวอร์ที่ฝังตัวของมัลแวร์นี้มีความโดดเด่นเป็นพิเศษเนื่องจากมีการลงนามโดย Microsoft เชื่อกันว่าบริษัทจีนที่อยู่เบื้องหลังบริษัทดังกล่าวมีคุณสมบัติตรงตามข้อกำหนดการลงนามรหัสไดรเวอร์ของ Microsoft และได้รับใบรับรอง Extended Verification (EV) อย่างไรก็ตาม ไดรเวอร์ดังกล่าวถูกลบออกจาก Windows Server Catalog ณ วันที่ 1 พฤษภาคม 2024

Windows กำหนดให้ไดรเวอร์โหมดเคอร์เนลได้รับการลงนามแบบดิจิทัลซึ่งเป็นมาตรการรักษาความปลอดภัยที่สำคัญเพื่อป้องกันไดรเวอร์ที่ฉ้อโกงซึ่งอาจบ่อนทำลายการควบคุมความปลอดภัยและขัดขวางกระบวนการของระบบ

อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบว่าผู้คุกคามที่พูดภาษาจีนพื้นเมืองกำลังใช้ประโยชน์จากช่องโหว่ในนโยบาย Microsoft Windows เพื่อสร้างลายเซ็นบนไดรเวอร์โหมดเคอร์เนล การวิเคราะห์ HotPage ซึ่งดูเหมือนจะเป็นมัลแวร์ที่ค่อนข้างทั่วไป แสดงให้เห็นว่านักพัฒนาแอดแวร์ยังคงพยายามอย่างเต็มที่เพื่อให้บรรลุวัตถุประสงค์ของตน