Bilgisayar korsanları, web içeriğini manipüle etmek, hassas bilgileri çalmak ve kullanıcı oturumlarını ele geçirmek için tarayıcı enjektörlerini kullanırlar.
Kötü amaçlı kodu bir kullanıcının tarayıcısına enjekte ederek, çok sayıda yasadışı aktiviteyi kolaylaştırabilirler. Ayrıca, bunu kullanıcının tarayıcısına olan güvenini kullanarak yapacaklardır.
ESET’teki siber güvenlik araştırmacıları, yakın zamanda bilgisayar korsanlarının trafiği engellemesine olanak tanıyan yeni bir Çin tarayıcı enjektörü tespit etti.
Yeni Çince Tarayıcı Enjektörü
2023’ün sonlarında keşfedilen HotPage.exe, tarayıcı trafiğini engelleyen Microsoft imzalı bir sürücü ve kitaplıkları dağıtan kötü amaçlı bir yükleyicidir.
Hubei Dunwang Network Technology Co., Ltd. tarafından geliştirilen bu uygulama, kendisini “İnternet kafe güvenlik çözümü” olarak tanıtıyor ancak oyunla ilgili reklamlar yerleştiriyor ve sistem bilgilerini topluyor.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Genişletilmiş Doğrulama sertifikasıyla imzalanan sürücü, uygunsuz erişim kısıtlamaları nedeniyle SİSTEM ayrıcalıklarına sahip korumasız herhangi bir işleme kod enjeksiyonuna izin verir.
Bilinmeyen yollarla, muhtemelen paketlenmiş yazılımlarla dağıtılan bu virüs, Chromium tabanlı tarayıcıları hedefliyor.
Yükleyici şifrelenmiş yapılandırmaları kullanır ve güncellemeler ve veri sızdırma için uzak sunucularla iletişim kurar.
Microsoft, 18 Mart’ta ifşa edilmesinin ardından 1 Mayıs 2024’te güvenlik açığı bulunan sürücüyü kaldırdı. ESET bu tehdidi Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak tespit ediyor.
Tarayıcılara kütüphaneleri enjekte etmek, URL’leri düzenlemeye ve yeni sekmeler açmaya yardımcı olan HotPage sürücüsü tarafından yapılır. Enjeksiyon için, .\KNewTableBaseIo’daki farklı süreçleri ve yanıtları izlemek için Blackbone’u kullanır.
İşlemlere enjekte edilen kod, trafiği manipüle etme amaçları için SSL_read/write’ı bağlarken kullanıcıları reklam sayfalarına yönlendiren hedefli modüllerdir. Bu sürücü, uygun erişim kontrolleri olmadan ayrıcalık artışına yol açabilir, ESET raporunda okunuyor.
İşlemlere keyfi DLL enjeksiyonunu içeren iki istismar senaryosu vardır ve her ikisi de yeni işlemlerin komut satırlarını değiştirmenin SYSTEM ayrıcalıklarına sahip kodun yürütülmesiyle sonuçlanabilir.
Bunlara tarayıcıları hedeflemek, enjeksiyon kurallarını tanımlamak ve reklam içeriğini yönetmek için kullanılan şifreli yapılandırmalar (chromedll, hotPage, newtalbe) dahildir.
Sürücü ayrıca herhangi bir tarayıcının güvenlik politikalarını ihlal edebilecek farklı yönlendirme türlerini de kullanır.
HotPage reklam yazılımı sürücüsü bazı gelişmiş teknikler gösterir; örneğin, işlem manipülasyonu için bir çekirdek bileşeni ve Microsoft tarafından verilen bir kod imzalama sertifikası.
Bu, meşru ve sahte sertifikalar arasında ayrım yapmayı zorlaştırır. HotPage bir reklam yazılımı olarak sınıflandırılır ancak kusurları, yönetici ayrıcalığı olmayan kullanıcıların sisteme erişmesine veya uzak süreçlere DLL enjekte etmesine olanak tanır.
Microsoft, 1 Mayıs 2024’te HotPage’i Windows Server Kataloğu’ndan çıkardı. Sonuç olarak, ESET bunu Win{32|64}/HotPage.A olarak sınıflandırıyor ve Win{32|64}/HotPage.B, zararsız bir uygulamanın temel sistemleri tehlikeye atmak için nasıl kullanılabileceğini ortaya koyuyor.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.