Phần mềm độc hại HotPage
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mô-đun phần mềm quảng cáo tuyên bố chặn quảng cáo và các trang web lừa đảo. Tuy nhiên, nó bí mật cài đặt một thành phần trình điều khiển kernel, cho phép tin tặc thực thi mã tùy ý với quyền nâng cao trên hệ thống Windows. Phần mềm độc hại này có tên là HotPage, được xác định bằng tệp cài đặt của nó, 'HotPage.exe.'
Mục lục
Phần mềm độc hại HotPage hoạt động như thế nào?
Trình cài đặt thiết lập trình điều khiển có thể đưa mã vào các tiến trình từ xa, cùng với hai thư viện chặn và thao túng lưu lượng mạng của trình duyệt. Phần mềm độc hại này có khả năng sửa đổi hoặc thay thế nội dung của các trang Web, chuyển hướng người dùng đến các trang khác hoặc mở tab mới dựa trên các điều kiện cụ thể.
Ngoài việc sử dụng các tính năng chặn và lọc lưu lượng truy cập để hiển thị các quảng cáo liên quan đến trò chơi, phần mềm độc hại còn được thiết kế để thu thập và truyền thông tin hệ thống đến một máy chủ từ xa được liên kết với Hubei Dunwang Network Technology Co., Ltd, một công ty Trung Quốc.
Chức năng chính của trình điều khiển là đưa các thư viện này vào ứng dụng trình duyệt, thay đổi luồng thực thi của chúng để thay đổi URL được truy cập hoặc đảm bảo rằng trang chủ của các phiên trình duyệt mới được chuyển hướng đến một URL được chỉ định trong cấu hình của nó.
Những kẻ tấn công có thể đạt được đặc quyền cấp cao nhất trên các thiết bị bị lây nhiễm
Việc thiếu danh sách kiểm soát truy cập (ACL) cho trình điều khiển cho phép kẻ tấn công có tài khoản không có đặc quyền khai thác nó để lấy các đặc quyền nâng cao, cho phép chúng thực thi mã dưới dạng tài khoản NT AUTHORITY\System.
Thành phần hạt nhân này vô tình làm lộ ra mức đặc quyền cao nhất trong Windows, tài khoản Hệ thống, trước các mối đe dọa tiềm ẩn. Do hạn chế truy cập không đầy đủ, bất kỳ quy trình nào cũng có thể tương tác với thành phần này và sử dụng khả năng chèn mã của nó để nhắm mục tiêu vào các quy trình không được bảo vệ.
Mặc dù phương pháp phân phối chính xác của trình cài đặt vẫn chưa rõ ràng, nhưng có bằng chứng cho thấy nó đã được tiếp thị như một giải pháp bảo mật cho các quán cà phê Internet, tuyên bố nâng cao trải nghiệm duyệt web bằng cách chặn quảng cáo.
Khai thác phần mềm độc hại HotPage Chứng chỉ đã ký
Trình điều khiển nhúng của phần mềm độc hại này đặc biệt đáng chú ý vì nó được ký bởi Microsoft. Công ty Trung Quốc đứng sau nó được cho là đã đáp ứng các yêu cầu ký mã trình điều khiển của Microsoft và đạt được chứng chỉ Xác minh mở rộng (EV). Tuy nhiên, trình điều khiển đã bị xóa khỏi Danh mục Windows Server kể từ ngày 1 tháng 5 năm 2024.
Windows yêu cầu trình điều khiển chế độ lõi phải được ký điện tử như một biện pháp bảo mật quan trọng nhằm bảo vệ chống lại các trình điều khiển gian lận có thể làm suy yếu các biện pháp kiểm soát bảo mật và làm gián đoạn quy trình hệ thống.
Mặc dù vậy, các chuyên gia an ninh mạng đã phát hiện ra rằng những kẻ đe dọa nói tiếng Trung Quốc đang khai thác lỗ hổng trong chính sách của Microsoft Windows để giả mạo chữ ký trên trình điều khiển chế độ kernel. Phân tích của HotPage, dường như là một phần mềm độc hại tương đối chung chung, chứng minh rằng các nhà phát triển phần mềm quảng cáo tiếp tục nỗ lực hết sức để đạt được mục tiêu của họ.
