HotPage マルウェア

サイバーセキュリティ研究者は、広告や詐欺的なウェブサイトをブロックすると主張するアドウェア モジュールを発見しました。しかし、このアドウェア モジュールは密かにカーネル ドライバー コンポーネントをインストールし、ハッカーが Windows システムで昇格された権限を使用して任意のコードを実行できるようにします。HotPage という名前のこのマルウェアは、インストーラー ファイル「HotPage.exe」によって識別されます。

HotPage マルウェアはどのように動作するのでしょうか?

インストーラーは、リモート プロセスにコードを挿入できるドライバーと、ブラウザーのネットワーク トラフィックを傍受して操作する 2 つのライブラリを設定します。このマルウェアは、Web ページのコンテンツを変更または置き換えたり、ユーザーを別のページにリダイレクトしたり、特定の条件に基づいて新しいタブを開いたりすることができます。

このマルウェアは、トラフィック傍受およびフィルタリング機能を使用してゲーム関連の広告を表示するだけでなく、システム情報を収集して、中国企業であるHubei Dunwang Network Technology Co., Ltdにリンクされたリモートサーバーに送信するように設計されています。

ドライバーの主な機能は、これらのライブラリをブラウザー アプリケーションに挿入し、実行フローを変更してアクセスされた URL を変更したり、新しいブラウザー セッションのホームページが構成で指定された URL にリダイレクトされるようにすることです。

攻撃者は感染したデバイスで最高レベルの権限を取得する可能性がある

ドライバーのアクセス制御リスト (ACL) がないため、非特権アカウントを持つ攻撃者がこれを悪用して特権を昇格し、NT AUTHORITY\System アカウントとしてコードを実行できるようになります。

このカーネル コンポーネントは、Windows の最高権限レベルであるシステム アカウントを潜在的な脅威に誤ってさらします。アクセス制限が不十分なため、どのプロセスでもこのコンポーネントと対話でき、コード インジェクション機能を使用して保護されていないプロセスをターゲットにすることができます。

インストーラーの正確な配布方法は不明ですが、警告をブロックすることでブラウジング体験を向上させると主張し、インターネットカフェ向けのセキュリティソリューションとして販売されていることを示す証拠があります。

HotPage マルウェアが署名済み証明書を悪用

このマルウェアの組み込みドライバは、Microsoft によって署名されているため、特に注目に値します。このマルウェアの背後にある中国企業は、Microsoft のドライバ コード署名要件を満たし、Extended Verification (EV) 証明書を取得したと考えられています。ただし、このドライバは 2024 年 5 月 1 日付けで Windows Server カタログから削除されました。

Windows では、セキュリティ制御を弱体化させ、システム プロセスを中断させる可能性のある不正なドライバーを防ぐための重要なセキュリティ対策として、カーネル モード ドライバーにデジタル署名が必要です。

それにもかかわらず、サイバーセキュリティの専門家は、中国語を母国語とする脅威アクターが Microsoft Windows ポリシーの抜け穴を利用してカーネルモード ドライバーの署名を偽造していることを発見しました。比較的一般的なマルウェアのように見える HotPage の分析は、アドウェア開発者が目的を達成するためにあらゆる手段を講じ続けていることを示しています。