ESET Research, karmaşık bir Çin tarayıcı enjektörü keşfetti: gizemli bir Çin şirketine ait imzalı, savunmasız, reklam enjekte eden bir sürücü. ESET’in HotPage adını verdiği bu tehdit, ana sürücüsünü yükleyen ve Chromium tabanlı tarayıcılara kitaplıklar enjekte eden bir yürütülebilir dosyada kendi kendine bulunur.
Çinli şirketin Windows Server Kataloğu’nda listelenen sertifikalı ürünleri (kaynak: ESET)
Reklamları engelleyebilen bir güvenlik ürünü gibi görünerek aslında yeni reklamlar sunar. Ayrıca, kötü amaçlı yazılım geçerli sayfanın içeriğini değiştirebilir, kullanıcıyı yönlendirebilir veya yalnızca diğer reklamlarla dolu bir web sitesine yeni bir sekme açabilir. Kötü amaçlı yazılım daha fazla güvenlik açığı sunar ve sistemi daha da tehlikeli tehditlere açık bırakır. Ayrıcalıklı olmayan bir hesaba sahip bir saldırgan, meşru ve imzalı bir sürücü kullanırken SİSTEM ayrıcalıkları elde etmek veya uzak süreçlere daha fazla hasara neden olmak için kütüphaneler enjekte etmek amacıyla savunmasız sürücüyü kullanabilir.
2023’ün sonunda, ESET araştırmacıları, uzak süreçlere kod enjekte edebilen bir sürücü ve tarayıcıların ağ trafiğini yakalayıp bozabilen iki kitaplık dağıtan “HotPage.exe” adlı bir yükleyiciye rastladılar. Yükleyici, çoğu güvenlik ürünü tarafından bir reklam yazılımı bileşeni olarak algılandı. ESET araştırmacılarının gerçekten dikkatini çeken şey, Microsoft tarafından imzalanmış gömülü sürücüydü. İmzasına göre, Hubei Dunwang Network Technology adlı bir Çinli şirket tarafından geliştirilmişti.
“Şirket hakkında bilgi eksikliği ilgi çekiciydi. Dağıtım yöntemi hala belirsiz, ancak araştırmamıza göre bu yazılım Çince konuşan bireylere yönelik bir internet kafe güvenlik çözümü olarak tanıtıldı. Reklamları ve kötü amaçlı web sitelerini engelleyerek web tarama deneyimini iyileştirmeyi amaçlıyor, ancak gerçek oldukça farklı — oyunla ilgili reklamları görüntülemek için tarayıcı trafiğini engelleme ve filtreleme yeteneklerini kullanıyor. Ayrıca, büyük olasılıkla kurulum istatistiklerini toplamak için bilgisayar hakkında şirketin sunucusuna bazı bilgiler gönderiyor,” diye açıklıyor tehdidi keşfeden ESET araştırmacısı Romain Dumont.
Mevcut bilgilere göre, şirketin iş kapsamı geliştirme, hizmetler ve danışmanlık gibi teknolojiyle ilgili faaliyetlerin yanı sıra reklam faaliyetlerini de içeriyor. Şu anda ana hissedar, reklam ve pazarlama konusunda uzmanlaşmış gibi görünen çok küçük bir şirket olan Wuhan Yishun Baishun Culture Media. Sürücüyü yüklemek için gereken ayrıcalık düzeyi nedeniyle, kötü amaçlı yazılım diğer yazılım paketleriyle birlikte paketlenmiş veya bir güvenlik ürünü olarak reklamı yapılmış olabilir.
Windows’un bildirim geri aramalarını kullanarak, sürücü bileşeni açılan yeni tarayıcıları veya sekmeleri izler. Belirli koşullar altında, reklam yazılımı ağ kurcalama kitaplıklarını yüklemek için tarayıcı işlemlerine kabuk kodu enjekte etmek için çeşitli teknikler kullanacaktır. Microsoft’un Detours kanca kitaplığını kullanarak, enjekte edilen kod HTTP(S) isteklerini ve yanıtlarını filtreler.
Kötü amaçlı yazılım, geçerli sayfanın içeriğini değiştirebilir, kullanıcıyı yeniden yönlendirebilir veya oyun reklamlarıyla dolu bir web sitesine yeni bir sekme açabilir. Bu çekirdek bileşeni, bariz yaramaz davranışının yanı sıra, diğer tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık düzeyinde, SYSTEM hesabında kod çalıştırması için kapıyı açık bırakır. Bu çekirdek bileşenine yönelik uygunsuz erişim kısıtlamaları nedeniyle, herhangi bir işlem onunla iletişim kurabilir ve kod enjeksiyon yeteneğinden yararlanarak korumasız işlemleri hedef alabilir.
“HotPage sürücüsü bize Genişletilmiş Doğrulama sertifikalarının kötüye kullanılmasının hala bir şey olduğunu hatırlatıyor. Birçok güvenlik modeli bir noktada güvene dayalı olduğundan, tehdit aktörleri meşru ve şüpheli arasındaki çizgide oynamaya meyillidir. Bu tür yazılımlar bir güvenlik çözümü olarak tanıtılsın veya basitçe başka yazılımlarla birlikte sunulsun, bu güven sayesinde sağlanan yetenekler kullanıcıları güvenlik risklerine maruz bırakıyor,” diye ekliyor Romain.
ESET bu sürücüyü Mart 2024’te Microsoft’a bildirdi ve koordineli güvenlik açığı ifşa sürecini takip etti. ESET teknolojileri, Microsoft’un 1 Mayıs 2024’te Windows Server Kataloğu’ndan kaldırdığı bu tehdidi Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak algıladı.