Araştırmacılar, HotPage.exe adlı görünüşte zararsız bir yazılım yükleyicisinin, uzak sistem süreçlerine kod enjekte etme ve tarayıcı trafiğini kesme yeteneğine sahip Microsoft imzalı bir sürücüyü dağıtmak için kullanıldığını gözlemlediler.
Kötü amaçlı yazılım başlangıçta reklam yazılımı olarak tespit edilmiş olsa da, web içeriğini değiştirme ve kullanıcıları yönlendirme gibi kötü amaçlı yazılım benzeri yeteneği güvenlik araştırmacıları arasında kırmızı bayraklar oluşturdu. Microsoft tarafından imzalanan sürücü, Hubei Dunwang Network Technology Co., Ltd. adlı belirsiz bir Çin şirketi tarafından geliştirildi.
HotPage’in Müdahaleci Yapısı
Çince konuşan kullanıcılara yönelik reklamı yapılan yazılım, reklamları ve kötü amaçlı siteleri engelleyerek web taramasını iyileştirdiğini iddia ediyor. Ancak gerçekte HotPage, oyunla ilgili reklamları görüntülemek ve sistem bilgilerini toplamak için işlevlerini kötüye kullanıyor.
ESET araştırmacıları, özünde kötü amaçlı yazılımın, enfekte olmuş sistemde çalışan işlemlere kod enjeksiyonu yapmak için Microsoft imzalı bir sürücü kullanarak çalıştığını belirtiyor. Bu kod yürütmeyle birlikte, kötü amaçlı yazılım etkilenen sistemlere tarayıcı ağ trafiğini engellemek ve yönlendirmek için tasarlanmış iki kitaplık yüklüyor. Bu, kötü amaçlı yazılımın web sayfası içeriğini değiştirmesine, kullanıcıları yeniden yönlendirmesine veya önceden belirlenmiş koşullara göre yeni sekmeler açmasına olanak tanıyor.
Gömülü sürücü tarafından sağlanan çekirdek düzeyindeki erişim, kurban sistemlere ek kötü amaçlı yazılım yüklerinin dağıtımı için yollar açar. Kötü amaçlı yazılım, uygunsuz erişim kısıtlamalarının istismarı yoluyla, tehdit aktörlerinin Windows işletim sistemi içinde en yüksek kullanılabilir ayrıcalıklara sahip kodu yürütmesine olanak tanır.
Bu güvenlik açıklarının keşfedilmesinin ardından, Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) 18 Mart 2024’te bildirimde bulunuldu. 1 Mayıs 2024’te, sürücü Windows Server Kataloğu’ndan kaldırıldı ve araştırmacılar tehditleri şu şekilde tanımladı: Win{32|64}/SıcakSayfa.A Ve Win{32|64}/HotPage.B.
Kötü Amaçlı Yazılımın Arkasındaki Şirket
Kötü amaçlı yazılımın geliştiricileri, HotPage sürücüsünü imzalamak için Microsoft’tan Genişletilmiş Doğrulama sertifikası elde etmişti. Hubei Dunwang Network Technology Co., Ltd. adlı şirket Ocak 2022’de kurulmuştu ve şu anda küçük bir reklam firması olan Wuhan Yishun Baishun Culture Media Co., Ltd.’nin mülkiyetindedir.
Güvenlik çözümleri sunduğunu iddia etmesine rağmen, araştırmacılar şirketin ürününün kendi lisans anlaşmasıyla çeliştiğine inanıyor. Şirket, DwAdsafe’in müdahale yeteneklerinden yoksun olduğunu belirtse de, yazılım aslında müdahaleci izleme ve filtreleme işlevleri içeriyor.
Şirketin web sitesi, dwadsafe[.]com artık erişilebilir değil, ancak arşivlenmiş sürümlerde ürün “İnternet kafe aktif savunma bulut platformu” olarak tanımlanıyor. Araştırmacılar, şirketin lisans sözleşmesi ile yazılımın gerçek amacı ve yetenekleri arasında çelişkiler olduğunu belirtiyor.
HotPage, yardımcı bir araç gibi görünürken kullanıcı gizliliği ve sistem güvenliği için önemli riskler oluşturur. İmzalı sürücüsü ve aldatıcı pazarlaması, kötü amaçlı yazılım programlarının iyi niyetli amaçlara sahip meşru yazılımlar olarak sunulduğu rahatsız edici bir eğilimi göstermektedir.
Kampanya, tehdit aktörlerinin meşru yazılım kanallarına olan güveni suistimal etmeye çalışması nedeniyle sürücü imzalama için kapsamlı inceleme süreçlerine duyulan kritik ihtiyacın altını çiziyor.