Шкідливе програмне забезпечення HotPage
Дослідники з кібербезпеки виявили модуль рекламного ПЗ, який нібито блокує рекламу та шахрайські веб-сайти. Однак він таємно встановлює компонент драйвера ядра, що дозволяє хакерам виконувати довільний код із підвищеними правами доступу в системах Windows. Цю зловмисну програму під назвою HotPage ідентифікують за файлом інсталятора HotPage.exe.
Зміст
Як працює зловмисне програмне забезпечення HotPage?
Інсталятор налаштовує драйвер, який може вставляти код у віддалені процеси, а також дві бібліотеки, які перехоплюють і маніпулюють мережевим трафіком браузера. Це зловмисне програмне забезпечення здатне змінювати або замінювати вміст веб-сторінок, перенаправляти користувачів на інші сторінки або відкривати нові вкладки на основі певних умов.
Окрім використання функцій перехоплення та фільтрації трафіку для відображення пов’язаної з іграми реклами, зловмисне програмне забезпечення призначене для збору та передачі системної інформації на віддалений сервер, пов’язаний з китайською компанією Hubei Dunwang Network Technology Co., Ltd.
Основною функцією драйвера є впровадження цих бібліотек у програми браузера, зміна їхнього потоку виконання, щоб змінити URL-адресу, до якої здійснюється доступ, або переконатися, що домашня сторінка нових сеансів браузера перенаправляється на URL-адресу, указану в його конфігурації.
Зловмисники можуть отримати привілеї найвищого рівня на заражених пристроях
Відсутність списків контролю доступу (ACL) для драйвера дозволяє зловмиснику з непривілейованим обліковим записом використовувати його для отримання підвищених привілеїв, дозволяючи йому виконувати код як обліковий запис NT AUTHORITY\System.
Цей компонент ядра випадково наражає потенційні загрози на найвищий рівень привілеїв у Windows, системний обліковий запис. Через неадекватні обмеження доступу будь-який процес може взаємодіяти з цим компонентом і використовувати його можливість впровадження коду для націлювання на незахищені процеси.
Хоча точний спосіб розповсюдження інсталятора невідомий, є дані, які свідчать про те, що він рекламувався як рішення безпеки для інтернет-кафе, стверджуючи, що покращує досвід перегляду за рахунок блокування реклами.
Підписаний сертифікат HotPage шкідливих програм
Вбудований драйвер цього зловмисного програмного забезпечення особливо помітний, оскільки він підписаний Microsoft. Вважається, що китайська компанія, що стоїть за нею, виконала вимоги Microsoft щодо підпису коду драйвера та отримала сертифікат розширеної перевірки (EV). Однак 1 травня 2024 року драйвер було видалено з каталогу Windows Server.
Windows вимагає, щоб драйвери режиму ядра мали цифровий підпис як важливий захід безпеки для захисту від шахрайських драйверів, які можуть підірвати засоби контролю безпеки та порушити системні процеси.
Незважаючи на це, експерти з кібербезпеки виявили, що китайськомовні суб’єкти загрози використовують лазівку в політиці Microsoft Windows для підробки підписів на драйверах режиму ядра. Аналіз HotPage, який, здається, є відносно типовим шкідливим програмним забезпеченням, показує, що розробники рекламного програмного забезпечення продовжують докладати великих зусиль для досягнення своїх цілей.
