熱門頁面惡意軟體

網路安全研究人員發現了一個廣告軟體模組，該模組聲稱可以阻止廣告和詐騙網站。然而，它秘密安裝了一個核心驅動程式元件，允許駭客在Windows系統上以提升的權限執行任意程式碼。該惡意軟體名為 HotPage，由其安裝程式檔案「HotPage.exe」識別。

HotPage 惡意軟體如何運作？

安裝程式設定一個可以將程式碼注入遠端進程的驅動程序，以及兩個攔截和操縱瀏覽器網路流量的庫。該惡意軟體能夠修改或取代網頁內容、將使用者重新導向至不同頁面或根據特定條件開啟新分頁。

除了利用其流量攔截和過濾功能來顯示遊戲相關廣告外，該惡意軟體還旨在收集系統資訊並將其傳輸到與中國公司湖北敦網網路科技有限公司連接的遠端伺服器。

驅動程式的主要功能是將這些庫注入到瀏覽器應用程式中，更改其執行流程以更改訪問的 URL 或確保新瀏覽器會話的主頁重定向到其配置中指定的 URL。

攻擊者可以在受感染的設備上獲得最高等級的權限

由於驅動程式缺乏存取控制清單 (ACL)，攻擊者可以利用非特權帳戶來利用該驅動程式來取得提升的權限，從而能夠以 NT AUTHORITY\System 帳戶的身份執行程式碼。

此核心元件無意中將 Windows 中的最高權限等級（系統帳戶）暴露給潛在威脅。由於存取限制不充分，任何進程都可以與該元件交互，並使用其程式碼注入功能來攻擊未受保護的進程。

雖然安裝程式的確切分發方法尚不清楚，但有證據表明它已作為網咖的安全解決方案進行銷售，聲稱可以透過阻止廣告來增強瀏覽體驗。

HotPage 惡意軟體利用簽章憑證

該惡意軟體的嵌入式驅動程式特別值得注意，因為它是由 Microsoft 簽署的。據信其背後的中國公司已經滿足了微軟的驅動程式程式碼簽署要求，並獲得了擴展驗證（EV）證書。但是，自 2024 年 5 月 1 日起，該驅動程式已從 Windows Server 目錄中移除。

Windows 要求對核心模式驅動程式進行數位簽名，作為關鍵的安全措施，以防止可能破壞安全控制和破壞系統進程的詐欺性驅動程式。

儘管如此，網路安全專家發現，以中文為母語的威脅行為者正在利用 Microsoft Windows 策略中的漏洞在內核模式驅動程式上偽造簽章。 HotPage 似乎是一種相對通用的惡意軟體，對它的分析表明廣告軟體開發人員繼續不遺餘力地實現其目標。