HotPage Malware
Natuklasan ng mga mananaliksik sa cybersecurity ang isang adware module na nagsasabing hinaharangan ang mga advertisement at mapanlinlang na website. Gayunpaman, lihim itong nag-i-install ng bahagi ng driver ng kernel, na nagpapahintulot sa mga hacker na magsagawa ng arbitrary code na may mataas na mga pahintulot sa mga sistema ng Windows. Ang malware na ito, na pinangalanang HotPage, ay kinilala sa pamamagitan ng installer file nito, 'HotPage.exe.'
Talaan ng mga Nilalaman
Paano Gumagana ang HotPage Malware?
Nagse-set up ang installer ng driver na maaaring mag-inject ng code sa mga malalayong proseso, kasama ang dalawang library na humarang at nagmamanipula ng trapiko sa network ng browser. Ang malware na ito ay may kakayahang baguhin o palitan ang nilalaman ng mga Web page, i-redirect ang mga user sa iba't ibang page, o magbukas ng mga bagong tab batay sa mga partikular na kundisyon.
Bilang karagdagan sa paggamit ng mga feature ng traffic interception at pag-filter nito upang magpakita ng mga ad na nauugnay sa laro, ang malware ay idinisenyo upang mangolekta at magpadala ng impormasyon ng system sa isang malayuang server na naka-link sa Hubei Dunwang Network Technology Co., Ltd, isang kumpanyang Tsino.
Ang pangunahing pag-andar ng driver ay ipasok ang mga library na ito sa mga application ng browser, binabago ang daloy ng kanilang pagpapatupad upang baguhin ang na-access na URL o matiyak na ang homepage ng mga bagong session ng browser ay na-redirect sa isang URL na tinukoy sa configuration nito.
Maaaring Makakuha ang mga Attacker ng Pinakamataas na Antas na Pribilehiyo sa Mga Infected na Device
Ang kakulangan ng mga access control list (ACLs) para sa driver ay nagbibigay-daan sa isang attacker na may hindi privileged na account na samantalahin ito para sa mataas na mga pribilehiyo, na nagbibigay-daan sa kanila na magsagawa ng code bilang NT AUTHORITY\System account.
Ang kernel component na ito ay hindi sinasadyang inilantad ang pinakamataas na antas ng pribilehiyo sa Windows, ang System account, sa mga potensyal na banta. Dahil sa hindi sapat na mga paghihigpit sa pag-access, maaaring makipag-ugnayan ang anumang proseso sa bahaging ito at gamitin ang kakayahan ng code injection nito upang i-target ang mga hindi protektadong proseso.
Bagama't ang eksaktong paraan ng pamamahagi ng installer ay hindi malinaw, may ebidensya na nagmumungkahi na ito ay na-market bilang solusyon sa seguridad para sa mga internet café, na nag-aangkin upang mapahusay ang karanasan sa pagba-browse sa pamamagitan ng pagharang sa mga avertisement.
Ang HotPage Malware Exploits Sign Certificate
Ang naka-embed na driver ng malware na ito ay partikular na kapansin-pansin dahil ito ay nilagdaan ng Microsoft. Ang kumpanyang Tsino sa likod nito ay pinaniniwalaang natugunan ang mga kinakailangan sa pagpirma ng driver code ng Microsoft at nakakuha ng sertipiko ng Extended Verification (EV). Gayunpaman, ang driver ay inalis mula sa Windows Server Catalog noong Mayo 1, 2024.
Ang Windows ay nangangailangan ng mga driver ng kernel-mode na digital na nilagdaan bilang isang kritikal na hakbang sa seguridad upang bantayan laban sa mga mapanlinlang na driver na maaaring makasira sa mga kontrol sa seguridad at makagambala sa mga proseso ng system.
Sa kabila nito, natuklasan ng mga eksperto sa cybersecurity na sinasamantala ng mga native na nagsasalita ng Chinese na threat actor ang isang butas sa patakaran ng Microsoft Windows para magpeke ng mga lagda sa mga driver ng kernel-mode. Ang pagsusuri ng HotPage, na mukhang isang medyo generic na piraso ng malware, ay nagpapakita na ang mga developer ng adware ay patuloy na nagsusumikap upang makamit ang kanilang mga layunin.
