Logiciel malveillant HotPage
Des chercheurs en cybersécurité ont découvert un module publicitaire qui prétend bloquer les publicités et les sites Web frauduleux. Cependant, il installe secrètement un composant pilote du noyau, permettant aux pirates d'exécuter du code arbitraire avec des autorisations élevées sur les systèmes Windows. Ce malware, nommé HotPage, est identifié par son fichier d'installation, « HotPage.exe ».
Table des matières
Comment fonctionne le logiciel malveillant HotPage ?
Le programme d'installation configure un pilote capable d'injecter du code dans des processus distants, ainsi que deux bibliothèques qui interceptent et manipulent le trafic réseau du navigateur. Ce malware est capable de modifier ou de remplacer le contenu des pages Web, de rediriger les utilisateurs vers différentes pages ou d'ouvrir de nouveaux onglets en fonction de conditions spécifiques.
En plus d'utiliser ses fonctionnalités d'interception du trafic et de filtrage pour afficher des publicités liées aux jeux, le malware est conçu pour collecter et transmettre des informations système à un serveur distant lié à Hubei Dunwang Network Technology Co., Ltd, une société chinoise.
La fonction principale du pilote est d'injecter ces bibliothèques dans les applications du navigateur, en modifiant leur flux d'exécution pour modifier l'URL consultée ou garantir que la page d'accueil des nouvelles sessions du navigateur est redirigée vers une URL spécifiée dans sa configuration.
Les attaquants pourraient obtenir les privilèges les plus élevés sur les appareils infectés
L'absence de listes de contrôle d'accès (ACL) pour le pilote permet à un attaquant disposant d'un compte non privilégié de l'exploiter pour obtenir des privilèges élevés, lui permettant ainsi d'exécuter du code en tant que compte NT AUTHORITY\System.
Ce composant du noyau expose par inadvertance le niveau de privilège le plus élevé de Windows, le compte système, à des menaces potentielles. En raison de restrictions d'accès inadéquates, n'importe quel processus peut interagir avec ce composant et utiliser sa capacité d'injection de code pour cibler des processus non protégés.
Bien que la méthode de distribution exacte du programme d'installation ne soit pas claire, des preuves suggèrent qu'il a été commercialisé comme une solution de sécurité pour les cybercafés, prétendant améliorer l'expérience de navigation en bloquant les publicités.
Un logiciel malveillant HotPage exploite un certificat signé
Le pilote intégré de ce malware est particulièrement remarquable car il est signé par Microsoft. On pense que la société chinoise à l'origine de ce projet a satisfait aux exigences de signature du code de pilote de Microsoft et a obtenu un certificat de vérification étendue (EV). Cependant, le pilote a été supprimé du catalogue Windows Server le 1er mai 2024.
Windows exige que les pilotes en mode noyau soient signés numériquement, ce qui constitue une mesure de sécurité essentielle pour se prémunir contre les pilotes frauduleux susceptibles de compromettre les contrôles de sécurité et de perturber les processus du système.
Malgré cela, les experts en cybersécurité ont découvert que les auteurs de menaces de langue maternelle chinoise exploitent une faille dans la politique de Microsoft Windows pour forger des signatures sur les pilotes en mode noyau. L'analyse de HotPage, qui semble être un logiciel malveillant relativement générique, démontre que les développeurs de logiciels publicitaires continuent de déployer de grands efforts pour atteindre leurs objectifs.
