HotPage-Malware
Cybersicherheitsforscher haben ein Adware-Modul entdeckt, das angeblich Werbung und betrügerische Websites blockiert. Es installiert jedoch heimlich eine Kernel-Treiberkomponente, die es Hackern ermöglicht, beliebigen Code mit erhöhten Berechtigungen auf Windows-Systemen auszuführen. Diese Malware mit dem Namen HotPage wird durch ihre Installationsdatei „HotPage.exe“ identifiziert.
Inhaltsverzeichnis
Wie funktioniert die HotPage-Malware?
Das Installationsprogramm richtet einen Treiber ein, der Code in Remoteprozesse einschleusen kann, sowie zwei Bibliotheken, die den Netzwerkverkehr des Browsers abfangen und manipulieren. Diese Malware kann den Inhalt von Webseiten ändern oder ersetzen, Benutzer auf andere Seiten umleiten oder unter bestimmten Bedingungen neue Registerkarten öffnen.
Die Malware nutzt ihre Funktionen zum Abfangen und Filtern des Datenverkehrs nicht nur zum Anzeigen spielbezogener Werbung, sondern ist auch darauf ausgelegt, Systeminformationen zu sammeln und an einen Remote-Server zu übertragen, der mit dem chinesischen Unternehmen Hubei Dunwang Network Technology Co., Ltd. verbunden ist.
Die Hauptfunktion des Treibers besteht darin, diese Bibliotheken in Browseranwendungen einzufügen und deren Ausführungsfluss zu ändern, um die aufgerufene URL zu ändern oder sicherzustellen, dass die Homepage neuer Browsersitzungen auf eine in ihrer Konfiguration angegebene URL umgeleitet wird.
Angreifer könnten auf infizierten Geräten höchste Privilegien erlangen
Das Fehlen von Zugriffskontrolllisten (ACLs) für den Treiber ermöglicht es einem Angreifer mit einem nicht privilegierten Konto, diesen für erhöhte Privilegien auszunutzen, was ihm die Ausführung von Code unter dem Konto NT AUTHORITY\System ermöglicht.
Diese Kernelkomponente setzt versehentlich die höchste Berechtigungsstufe in Windows, das Systemkonto, potenziellen Bedrohungen aus. Aufgrund unzureichender Zugriffsbeschränkungen kann jeder Prozess mit dieser Komponente interagieren und ihre Code-Injektionsfunktion nutzen, um ungeschützte Prozesse anzugreifen.
Obwohl die genaue Verbreitungsmethode des Installationsprogramms unklar ist, gibt es Hinweise darauf, dass es als Sicherheitslösung für Internetcafés vermarktet wurde und angeblich das Surferlebnis durch das Blockieren von Werbung verbessern soll.
HotPage-Malware nutzt signiertes Zertifikat aus
Der eingebettete Treiber dieser Malware ist besonders bemerkenswert, da er von Microsoft signiert ist. Das dahinter stehende chinesische Unternehmen soll die Anforderungen von Microsoft an die Codesignatur des Treibers erfüllt und ein Extended Verification (EV)-Zertifikat erhalten haben. Der Treiber wurde jedoch zum 1. Mai 2024 aus dem Windows Server-Katalog entfernt.
Unter Windows ist es erforderlich, dass Kernelmodustreiber digital signiert sind. Dies ist eine wichtige Sicherheitsmaßnahme zum Schutz vor betrügerischen Treibern, die die Sicherheitskontrollen untergraben und Systemprozesse stören könnten.
Trotzdem haben Cybersicherheitsexperten entdeckt, dass chinesischsprachige Bedrohungsakteure eine Lücke in der Microsoft Windows-Richtlinie ausnutzen, um Signaturen auf Kernelmodustreibern zu fälschen. Die Analyse von HotPage, bei dem es sich anscheinend um ein relativ generisches Stück Malware handelt, zeigt, dass Adware-Entwickler weiterhin große Anstrengungen unternehmen, um ihre Ziele zu erreichen.
