تقوم برامج الإعلانات المتسللة HotPage المتنكرة في شكل أداة حظر الإعلانات بتثبيت برنامج تشغيل Kernel الضار
سلط باحثو الأمن السيبراني الضوء على وحدة برامج إعلانية تهدف إلى حظر الإعلانات ومواقع الويب الضارة، بينما تقوم بشكل خفي بتفريغ مكون برنامج تشغيل kernel الذي يمنح المهاجمين القدرة على تشغيل تعليمات برمجية عشوائية بأذونات مرتفعة على مضيفي Windows.
حصلت البرامج الضارة، التي يطلق عليها اسم HotPage، على اسمها من المثبت الذي يحمل نفس الاسم (“HotPage.exe”)، وفقًا للنتائج الجديدة التي توصلت إليها شركة ESET، التي اكتشفت البرامج الضارة في نهاية عام 2023.
يقوم المثبت “بنشر برنامج تشغيل قادر على حقن التعليمات البرمجية في العمليات البعيدة، ومكتبتين قادرتين على اعتراض حركة مرور شبكة المتصفحات والتلاعب بها،” كما قال الباحث في شركة ESET، رومان دومونت. قال في التحليل الفني الذي نشر اليوم.
“يمكن للبرامج الضارة تعديل محتويات الصفحة المطلوبة أو استبدالها، أو إعادة توجيه المستخدم إلى صفحة أخرى، أو فتح صفحة جديدة في علامة تبويب جديدة بناءً على شروط معينة.”
إلى جانب الاستفادة من إمكانيات اعتراض حركة مرور المتصفح وتصفيته لعرض الإعلانات المتعلقة بالألعاب، فقد تم تصميمه لجمع معلومات النظام وإخراجها إلى خادم بعيد مرتبط بشركة صينية تدعى Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限).公司).
يتم تحقيق ذلك عن طريق برنامج تشغيل، هدفه الأساسي هو إدخال المكتبات في تطبيقات المتصفح وتغيير تدفق تنفيذها لتغيير عنوان URL الذي يتم الوصول إليه أو التأكد من إعادة توجيه الصفحة الرئيسية لمثيل متصفح الويب الجديد إلى عنوان URL معين محدد في التكوين.
هذا ليس كل شئ. عدم وجود أي قوائم للتحكم في الوصول (قوائم ACL) لبرنامج التشغيل يعني أن المهاجم الذي لديه حساب غير مميز يمكنه الاستفادة منه للحصول على امتيازات مرتفعة وتشغيل التعليمات البرمجية كحساب NT AUTHORITY\System.
وقال دومونت: “يترك مكون kernel هذا الباب مفتوحًا عن غير قصد لتهديدات أخرى لتشغيل التعليمات البرمجية على أعلى مستوى امتياز متاح في نظام التشغيل Windows: حساب النظام”. “بسبب قيود الوصول غير الصحيحة إلى مكون kernel هذا، يمكن لأي عمليات التواصل معه والاستفادة من قدرته على حقن التعليمات البرمجية لاستهداف أي عمليات غير محمية.”
على الرغم من أن الطريقة الدقيقة التي يتم بها توزيع أداة التثبيت غير معروفة، إلا أن الأدلة التي جمعتها شركة الأمن السيبراني السلوفاكية تظهر أنه تم الإعلان عنها كحل أمني لمقاهي الإنترنت يهدف إلى تحسين تجربة التصفح للمستخدمين عن طريق إيقاف الإعلانات.
يتميز برنامج التشغيل المضمن بتوقيع Microsoft. ويعتقد أن الشركة الصينية قد مرت عبر مايكروسوفت متطلبات توقيع رمز السائق وتمكنت من الحصول على شهادة التحقق الموسع (EV). لقد تمت إزالته من كتالوج خادم ويندوز اعتبارًا من 1 مايو 2024.
لقد يُطلب من برامج تشغيل وضع Kernel أن تكون موقعة رقميًا ليتم تحميلها بواسطة نظام التشغيل Windows، وهي طبقة دفاع مهمة أنشأتها Microsoft للحماية من برامج التشغيل الضارة التي يمكن تسليحها لتخريب الضوابط الأمنية والتدخل في عمليات النظام.
ومع ذلك، كشفت شركة Cisco Talos في يوليو الماضي عن كيفية قيام الجهات الفاعلة في مجال التهديد الناطقة باللغة الصينية باستغلال ثغرة في سياسة Microsoft Windows لتزوير التوقيعات على برامج تشغيل وضع kernel.
وقال دومونت: “لقد أثبت تحليل هذه القطعة ذات المظهر العام من البرامج الضارة، مرة أخرى، أن مطوري برامج الإعلانات المتسللة ما زالوا على استعداد لبذل جهد إضافي لتحقيق أهدافهم”.
“ليس هذا فحسب، بل قاموا بتطوير مكون kernel مع مجموعة كبيرة من التقنيات لمعالجة العمليات، لكنهم مروا أيضًا بالمتطلبات التي فرضتها Microsoft للحصول على شهادة توقيع التعليمات البرمجية لمكون برنامج التشغيل الخاص بهم.”
إرسال التعليق