Новости HotPage.exe: рекламный троян с сертификатом Microsoft

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Как вирус-обманщик захватывал интернет-кафе.


3e9ah12nvpyacmx1wczjj3s3peyu3lfu.jpg


В конце 2023 года исследователи столкнулись с Для просмотра ссылки Войди или Зарегистрируйся - установщиком под названием HotPage.exe. На первый взгляд, это приложение казалось очередным рекламным ПО. Однако более глубокий анализ выявил, что за безобидным фасадом скрывается сложная вредоносная программа с впечатляющими возможностями.

HotPage.exe устанавливает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, перехватывающие и модифицирующие сетевой трафик браузеров. Это позволяет вредоносу изменять содержимое запрашиваемых веб-страниц, перенаправлять пользователя на другие сайты или открывать новые вкладки при определенных условиях.

Особое внимание исследователей привлек тот факт, что драйвер был подписан сертификатом Microsoft . Согласно подписи, он был разработан китайской компанией 湖北盾网网络科技有限公司 (Hubei Dunwang Network Technology Co., Ltd). Отсутствие какой-либо информации об этой фирме только подогрело интерес экспертов.

Программа рекламировалась как "решение для безопасности интернет-кафе", нацеленное на китайскоязычную аудиторию. Программа якобы должна была упрощать работу в интернете, блокируя рекламу и вредоносные сайты. Однако в реальности ее основной целью было внедрение игровой рекламы в браузеры пользователей.

Этот компонент ядра также непреднамеренно оставляет лазейку для других угроз. Из-за неправильных ограничений доступа любые процессы могут взаимодействовать с драйвером и эксплуатировать его возможности.

Исследователи сообщили о проблеме в Microsoft 18 марта 2024 года. После проверки Microsoft Security Response Center (MSRC) определил, что уязвимость больше не актуальна, так как проблемный драйвер был удален из каталога Windows Server 1 мая 2024 года.

Изучая цифровую подпись драйвера, эксперты обнаружили, что китайская компания прошла процесс проверки Microsoft для подписи кода драйверов и получила сертификат расширенной проверки (Extended Verification, EV). Очевидно, злоумышленники приложили немалые усилия для придания легитимности своему продукту.

Как выявило дальнейшее расследование, компания была зарегистрирована 6 января 2022 года. Согласно официальным данным, сфера ее деятельности включает разработку технологий, консультирование и рекламные услуги. Основным акционером является небольшая фирма Wuhan Yishun Baishun Culture Media Co., Ltd, специализирующаяся на рекламе и маркетинге.

В апреле и мае 2022 года компания подала заявки на регистрацию торговой марки "Shield Internet Café Security Defense". 22 февраля 2022 года был создан веб-сайт dwadsafe[.]com, который на момент исследования был недоступен.

При изучении сайта программы исследователи обнаружили интересное несоответствие. Продукт рекламировался как "платформа активной защиты для интернет-кафе", но лицензионное соглашение содержало противоречивую информацию. В одном пункте говорилось, что DwAdsafe не имеет функций перехвата и никак не влияет на другие программы. Однако другой пункт того же соглашения утверждал, что программа обладает широкими возможностями контроля над компьютером, включая перехват, мониторинг и даже удаление данных.

Технический анализ установщика HotPage.exe выявил следующие особенности:

  1. Файл был сжат упаковщиком UPX.
  2. Установщик содержал зашифрованные версии драйвера, библиотек для внедрения в процессы браузеров и три JSON-файла конфигурации.
  3. При запуске программа проверяет, не запущена ли она в виртуальной среде, используя инструкцию CPUID.
  4. Драйвер сохраняется в папке C:\Windows\ShieldNetWork\Business\ под случайным именем из 7 символов с расширением .sys.
  5. Создается служба для запуска драйвера, но без механизмов автозапуска.
Установщик взаимодействует с драйвером через его файловое устройство, используя следующие коды управления ввода-вывода:

  • 0x9C4013FC – отправка 32-битной библиотеки для внедрения в процессы браузеров.
  • 0x9C400FFC – отправка 64-битной библиотеки для внедрения в процессы браузеров.
  • 0x9C40173C – отправка конфигурации chromedll.
  • 0x9C400BFC – отправка обновленной конфигурации newtalbe.
Конфигурационный файл newtalbe содержит важную информацию для работы вредоноса, в том числе:

  • Шаблоны URL для сбора статистики.
  • Список доменов для перенаправления пользователя.
  • API-endpoints для обновления списка игровых доменов и отправки информации о зараженном компьютере.
  • Списки шаблонов для применения правил перенаправления.
Драйвер создает два потока: один для внедрения библиотек в процессы браузеров, другой для открытия новых вкладок. Он также устанавливает обработчики уведомлений о создании процессов и загрузке исполняемых образов для мониторинга новых процессов.

Внедренная библиотека перехватывает функции SSL_read и SSL_write, что позволяет манипулировать расшифрованным TLS-трафиком. Для этого используются специальные шаблоны, найденные в загруженных модулях браузера.

Библиотека также перехватывает функцию NtDeviceIoControlFile для обработки определенных IOCTL-кодов. Это позволяет отменять DNS-запросы и модифицировать исходящие и входящие HTTP-запросы на основе правил из конфигурационных файлов.

Таким образом, под видом программы для повышения безопасности интернет-кафе злоумышленники создали сложное вредоносное ПО, способное манипулировать сетевым трафиком и внедрять рекламу. Этот случай демонстрирует, насколько изощренными могут быть современные киберугрозы и подчеркивает важность тщательного анализа даже на первый взгляд безобидных приложений.
 
Источник новости
www.securitylab.ru

Похожие темы