Pesquisadores de segurança cibernética revelaram um módulo de adware que pretende bloquear anúncios e websites maliciosos, ao mesmo tempo em que descarrega furtivamente um componente de driver de kernel que concede aos invasores a capacidade de executar código arbitrário com permissões elevadas em hosts Home windows.
O malware, chamado HotPage, recebe esse nome em homenagem ao instalador homônimo (“HotPage.exe”), de acordo com novas descobertas da ESET.
O instalador “implanta um driver capaz de injetar código em processos remotos e duas bibliotecas capazes de interceptar e adulterar o tráfego de rede dos navegadores”, disse o pesquisador da ESET Romain Dumont em uma análise técnica publicada hoje.
“O malware pode modificar ou substituir o conteúdo de uma página solicitada, redirecionar o usuário para outra página ou abrir uma nova página em uma nova aba com base em certas condições.”
Além de aproveitar seus recursos de interceptação e filtragem de tráfego do navegador para exibir anúncios relacionados a jogos, ele foi projetado para coletar e exfiltrar informações do sistema para um servidor remoto associado a uma empresa chinesa chamada Hubei Dunwang Community Know-how Co., Ltd (湖北盾网网络科技有限公司).
Isso é feito por meio de um driver, cujo objetivo principal é injetar as bibliotecas em aplicativos de navegador e alterar seu fluxo de execução para alterar a URL acessada ou garantir que a página inicial da nova instância do navegador da Internet seja redirecionada para uma URL específica especificada em uma configuração.
Isso não é tudo. A ausência de qualquer lista de controle de acesso (ACLs) para o driver significava que um invasor com uma conta não privilegiada poderia aproveitá-la para obter privilégios elevados e executar código como a conta NT AUTHORITYSystem.
“Este componente do kernel involuntariamente deixa a porta aberta para outras ameaças executarem código no mais alto nível de privilégio disponível no sistema operacional Home windows: a conta do sistema”, disse Dumont. “Devido a restrições de acesso impróprias a este componente do kernel, qualquer processo pode se comunicar com ele e alavancar sua capacidade de injeção de código para atingir quaisquer processos não protegidos.”
Embora o método exato pelo qual o instalador é distribuído não seja conhecido, evidências coletadas pela empresa eslovaca de segurança cibernética mostram que ele foi anunciado como uma solução de segurança para cibercafés, cujo objetivo é melhorar a experiência de navegação dos usuários ao interromper anúncios.
O driver incorporado é notável pelo fato de ser assinado pela Microsoft. Acredita-se que a empresa chinesa tenha passado pelos requisitos de assinatura de código de driver da Microsoft e conseguido obter um certificado de Verificação Estendida (EV). Ele foi removido do Catálogo do Home windows Server em 1º de maio de 2024.
Os drivers do modo kernel precisam ser assinados digitalmente para serem carregados pelo sistema operacional Home windows, uma importante camada de defesa criada pela Microsoft para proteger contra drivers maliciosos que podem ser usados como armas para subverter controles de segurança e interferir nos processos do sistema.
Dito isso, o Cisco Talos revelou em julho passado como agentes de ameaças nativos de língua chinesa estão explorando uma brecha na política do Microsoft Home windows para falsificar assinaturas em drivers de modo kernel.
“A análise desse malware de aparência bastante genérica provou, mais uma vez, que os desenvolvedores de adware ainda estão dispostos a fazer um esforço additional para atingir seus objetivos”, disse Dumont.
“Além disso, eles desenvolveram um componente de kernel com um grande conjunto de técnicas para manipular processos, mas também passaram pelos requisitos impostos pela Microsoft para obter um certificado de assinatura de código para seu componente de driver.”
