HotPage Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, reklamları ve sahte web sitelerini engellediğini iddia eden bir reklam yazılımı modülünü ortaya çıkardı. Ancak gizlice bir çekirdek sürücüsü bileşeni yükleyerek bilgisayar korsanlarının Windows sistemlerinde yükseltilmiş izinlerle rastgele kod yürütmesine olanak tanır. HotPage adı verilen bu kötü amaçlı yazılım, 'HotPage.exe' adlı yükleyici dosyasıyla tanımlanır.
İçindekiler
HotPage Kötü Amaçlı Yazılımı Nasıl Çalışır?
Yükleyici, uzak işlemlere kod ekleyebilecek bir sürücünün yanı sıra, tarayıcı ağ trafiğini kesen ve yöneten iki kitaplık kurar. Bu kötü amaçlı yazılım, Web sayfalarının içeriğini değiştirme veya değiştirme, kullanıcıları farklı sayfalara yönlendirme veya belirli koşullara göre yeni sekmeler açma yeteneğine sahiptir.
Kötü amaçlı yazılım, oyunla ilgili reklamları görüntülemek için trafiği durdurma ve filtreleme özelliklerini kullanmanın yanı sıra, sistem bilgilerini toplayıp Çinli bir şirket olan Hubei Dunwang Network Technology Co., Ltd'ye bağlı uzak bir sunucuya iletmek üzere tasarlandı.
Sürücünün ana işlevi, bu kitaplıkları tarayıcı uygulamalarına enjekte etmek, erişilen URL'yi değiştirmek için yürütme akışlarını değiştirmek veya yeni tarayıcı oturumlarının ana sayfasının, yapılandırmasında belirtilen bir URL'ye yönlendirilmesini sağlamaktır.
Saldırganlar, Etkilenen Cihazlarda En Yüksek Düzey Ayrıcalıkları Elde Edebilir
Sürücü için erişim kontrol listelerinin (ACL'ler) bulunmaması, ayrıcalıklı olmayan bir hesaba sahip bir saldırganın, yükseltilmiş ayrıcalıklar için bu hesaptan yararlanmasına ve NT AUTHORITY\System hesabı olarak kod yürütmesine olanak tanır.
Bu çekirdek bileşeni, yanlışlıkla Windows'taki en yüksek ayrıcalık düzeyi olan Sistem hesabını potansiyel tehditlere maruz bırakır. Yetersiz erişim kısıtlamaları nedeniyle, herhangi bir işlem bu bileşenle etkileşime girebilir ve korumasız işlemleri hedeflemek için kod ekleme yeteneğini kullanabilir.
Yükleyicinin kesin dağıtım yöntemi belirsiz olsa da, reklamları engelleyerek gezinme deneyimini iyileştirdiği iddiasıyla internet kafeler için bir güvenlik çözümü olarak pazarlandığını gösteren kanıtlar var.
HotPage Kötü Amaçlı Yazılım İmzalı Sertifikayı İstismar Ediyor
Bu kötü amaçlı yazılımın yerleşik sürücüsü, Microsoft tarafından imzalanmış olması nedeniyle özellikle dikkat çekicidir. Arkasındaki Çinli şirketin, Microsoft'un sürücü kodu imzalama gereksinimlerini karşıladığı ve Genişletilmiş Doğrulama (EV) sertifikası aldığına inanılıyor. Ancak sürücü 1 Mayıs 2024 itibarıyla Windows Sunucu Kataloğundan kaldırılmıştır.
Windows, güvenlik kontrollerini zayıflatabilecek ve sistem süreçlerini bozabilecek sahte sürücülere karşı koruma sağlamak için kritik bir güvenlik önlemi olarak çekirdek modu sürücülerinin dijital olarak imzalanmasını gerektirir.
Buna rağmen siber güvenlik uzmanları, ana dili Çince olan tehdit aktörlerinin, çekirdek modu sürücülerinde imza oluşturmak için Microsoft Windows politikasındaki bir boşluktan yararlandığını keşfetti. Nispeten genel bir kötü amaçlı yazılım parçası gibi görünen HotPage'in analizi, reklam yazılımı geliştiricilerinin hedeflerine ulaşmak için büyük çaba harcamaya devam ettiğini gösteriyor.
