Výskumníci spoločnosti ESET objavili sofistikovaný čínsky prehliadačový injektor – podpísaný, zraniteľný ovládač od záhadnej čínskej spoločnosti, ktorý injektuje reklamu. Táto hrozba, ktorú ESET nazval HotPage, sa dodáva samostatne v spustiteľnom súbore, ktorý inštaluje svoj hlavný ovládač a injektuje knižnice do prehliadačov založených na Chromiu.
- Výskumníci spoločnosti ESET objavili sofistikovaný čínsky prehliadačový injektor, ktorý nazvali HotPage.
- Ide o podpísaný, zraniteľný ovládač na injektovanie reklamy od záhadnej čínskej spoločnosti.
- Hrozba vystupuje ako bezpečnostný produkt, ktorý blokuje reklamu, v skutočnosti však prináša ešte viac reklám.
- HotPage môže nahradiť obsah aktuálnej stránky, presmerovať používateľa alebo jednoducho otvoriť novú kartu s webovou stránkou plnou herných reklám.
- Hrozba necháva otvorené dvere pre ďalšie hrozby, ktoré môžu spustiť kód na najvyššej úrovni oprávnení dostupnej v operačnom systéme Windows.
Vydáva sa za bezpečnostný produkt schopný blokovať reklamy, v skutočnosti však zavádza nové reklamy. Okrem toho môže škodlivý softvér nahradiť obsah aktuálnej stránky, presmerovať používateľa alebo jednoducho otvoriť novú kartu webovej stránky plnej ďalších reklám. Škodlivý softvér predstavuje ďalšie zraniteľnosti a necháva systém otvorený ešte nebezpečnejším hrozbám. Útočník s neprivilegovaným účtom by mohol zraniteľný ovládač využiť na získanie oprávnení SYSTEM alebo injektovať knižnice do vzdialených procesov s cieľom spôsobiť ďalšie škody, a to všetko pri použití legitímneho a podpísaného ovládača.
Koncom roka 2023 výskumníci spoločnosti ESET narazili na inštalátor s názvom „HotPage.exe“, ktorý nasadzuje ovládač schopný injektovať kód do vzdialených procesov a dve knižnice schopné zachytávať a manipulovať so sieťovou prevádzkou prehliadačov. Inštalátor bol väčšinou bezpečnostných produktov detekovaný ako súčasť advéru. Čo však výskumníkov spoločnosti ESET skutočne zaujalo, bol vložený ovládač podpísaný spoločnosťou Microsoft. Podľa podpisu ho vyvinula čínska spoločnosť Hubei Dunwang Network Technology Co, Ltd.
„Nedostatok informácií o spoločnosti bol zaujímavý. Spôsob distribúcie je stále nejasný, ale podľa nášho výskumu bol tento softvér inzerovaný ako bezpečnostné riešenie pre internetové kaviarne zamerané na čínsky hovoriace osoby. Údajne zlepšuje zážitok z prehliadania webu blokovaním reklám a škodlivých webových stránok, ale realita je úplne iná – využíva svoje schopnosti zachytávania a filtrovania prevádzky prehliadača na zobrazovanie reklám súvisiacich s hrami. Zároveň odosiela niektoré informácie o počítači na server spoločnosti, pravdepodobne na zhromažďovanie štatistík o inštalácii,“ vysvetľuje výskumník spoločnosti ESET Romain Dumont, ktorý hrozbu objavil.
Podľa dostupných informácií zahŕňa obchodná činnosť spoločnosti činnosti súvisiace s technológiami, ako je vývoj, služby a poradenstvo, ale aj reklamné činnosti. Hlavným akcionárom je v súčasnosti spoločnosť Wuhan Yishun Baishun Culture Media Co., Ltd., veľmi malá spoločnosť, ktorá sa zrejme špecializuje na reklamu a marketing. Vzhľadom na úroveň oprávnení potrebných na inštaláciu ovládača mohol byť škodlivý softvér pribalený k iným softvérovým balíkom alebo inzerovaný ako bezpečnostný produkt.
Pomocou spätných hlásení systému Windows monitoruje komponent ovládača nové prehliadače alebo otvorené taby. Za určitých podmienok advér použije rôzne techniky na injektovanie shellkódu do procesov prehliadača, aby načítal svoje knižnice na manipuláciu so sieťou. Pomocou knižnice Detours spoločnosti Microsoft injektovaný kód filtruje HTTP(S) požiadavky a odpovede. Škodlivý softvér môže nahradiť obsah aktuálnej stránky, presmerovať používateľa alebo jednoducho otvoriť novú kartu s webovou stránkou plnou herných reklám. Okrem zjavného škodlivého správania necháva táto súčasť jadra otvorené dvere pre ďalšie hrozby, ktoré môžu spúšťať kód na najvyššej úrovni oprávnení dostupnej v operačnom systéme Windows – účte SYSTEM. Vzhľadom na nesprávne obmedzenia prístupu k tejto súčasti jadra s ňou môže komunikovať akýkoľvek proces a využiť jej schopnosť vnášania kódu na zacielenie na akékoľvek nechránené procesy.
„Ovládač HotPage nám pripomína, že zneužívanie certifikátov rozšíreného overovania je stále aktuálne. Keďže mnohé bezpečnostné modely sú v určitom bode založené na dôvere, útočníci majú tendenciu operovať na hranici medzi legitímnym a podozrivým. Bez ohľadu na to, či je takýto softvér inzerovaný ako bezpečnostné riešenie alebo je jednoducho pribalený k inému softvéru, možnosti udelené vďaka tejto dôvere vystavujú používateľov bezpečnostným rizikám,“ dodáva Romain.
ESET nahlásil tento ovládač spoločnosti Microsoft v marci 2024 a postupoval podľa jej koordinovaného procesu odhaľovania zraniteľností. Technológie spoločnosti ESET túto hrozbu, ktorú Microsoft 1. mája 2024 odstránil z katalógu Windows Server Catalog, detegovali ako Win{32|64}/HotPage.A a Win{32|64}/HotPage.B.
Viac technických informácií v anglickom jazyku nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.