又一全新恶意软件曝光,曾滥用微软驱动程序签名系统
2024-7-19 13:38:36 Author: www.freebuf.com(查看原文) 阅读量:25 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1721369611_669a040b952705a6efff0.png!small?1721369612878

近日,研究人员发现了一种名为 HotPage.exe 的新型恶意软件。

这种恶意软件最初是在 2023 年底被检测到的,起初它伪装成了一个安装程序,表面上可以通过阻止广告和恶意网站来改善网页浏览。

但它实际上是将代码注入远程进程并拦截浏览器流量。正如 ESET 在今天早些时候发布的一份公告中所描述的,该恶意软件可以修改、替换或重定向网页内容,并根据特定条件打开新标签。

有趣的是,HotPage.exe 的嵌入式驱动程序是由微软签署的,但却归属于一家另外的公司。由于有关该公司的信息很少,这引起了人们的警惕。该软件向中文用户推销 “网吧安全解决方案”,据称是为了增强浏览体验。

然而,它却将用户重定向到与游戏相关的广告,并收集用户计算机的数据用于统计目的。

2024 年 3 月 18 日,ESET 按照漏洞披露协调流程向微软报告了这一漏洞。微软于 2024 年 5 月 1 日从 Windows 服务器目录中删除了违规驱动程序。此后,ESET将此威胁标记为Win{32|64}/HotPage.A和Win{32|64}/HotPage.B。

进一步调查发现,该公司利用微软的驱动程序代码签名要求,获得了扩展验证(EV)证书。

ESET表示,这说明基于信任的驱动程序签名系统正在被滥用。该公司注册于2022年初,背景不详,其域名dwadsafe.com现已下线。

HotPage 恶意软件的技术细节

从技术角度看,该恶意软件的安装过程包括在磁盘上投放驱动程序、解密配置文件并将库注入基于 Chromium 的浏览器。

该驱动程序通过挂钩基于网络的 Windows API 功能、更改 URL 或打开带有广告内容的新标签来操纵浏览器流量。

该恶意软件的一个关键问题是其内核组件,它无意中允许其他威胁在 Windows 操作系统的最高权限级别执行代码。

这是由于访问限制不足,使得任何进程都能与内核组件通信并利用其代码注入功能。

这种技术对网络安全行业的广泛影响值得注意。恶意软件使用经过签名的合法驱动程序,不仅为侵入性广告软件提供了便利,还使系统面临更多安全风险。

攻击者可以利用这一漏洞获得系统级权限或向进程中注入恶意代码,从而利用对已签名驱动程序的固有信任。

为防范此类威胁,安全研究人员建议定期更新软件,使用全面的安全解决方案,并保持严格的访问控制。

参考来源:HotPage Malware Hijacks Browsers With Signed Microsoft Driver - Infosecurity Magazine (infosecurity-magazine.com)

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/406489.html
如有侵权请联系:admin#unsafe.sh