Hakeri iskorištavaju injektore pretraživača za manipulaciju web sadržajem, krađu osjetljivih informacija i otmicu sesija korisnika.
Ubacivanjem zlonamjernog koda u korisnikov pretrezivač, oni mogu olakšati mnoštvo nezakonitih aktivnosti. Osim toga, oni će to učiniti tako što će iskoristiti povjerenje korisnika u njihov pretrezivač.
Istraživači cyber sigurnosti u ESET-u su nedavno identifikovali novi kineski injektor pretraživača koji hakerima omogućava presretanje saobraćaja.
Novi kineski injektor za pretraživače
HotPage.exe, otkriven krajem 2023. godine, je zlonamjerni instalater koji postavlja drajver potpisan od strane Microsofta i biblioteke koje presreću promet pretraživača.
HotPage digitalni potpis vozača (Izvor – Welivesecurity)
Razvijen od strane Hubei Dunwang Network Technology Co., Ltd., predstavlja „sigurnosno rješenje internet kafića“, ali ubacuje oglase vezane za igre i prikuplja informacije o sistemu.
Drajver, potpisan certifikatom proširene verifikacije, dozvoljava ubacivanje koda u bilo koji nezaštićeni proces sa SYSTEM privilegijama zbog nepravilnih ograničenja pristupa.
Distribuiran nepoznatim putem, moguće softverom u paketu, cilja na pretraživače zasnovane na Chromiumu.
Instalater koristi šifrovane konfiguracije i komunicira sa udaljenim serverima za ažuriranja i eksfiltraciju podataka.
Tok rada instalatera (izvor – Welivesecurity)
Microsoft je uklonio ranjivi drajver 1. maja 2024., nakon otkrivanja podataka 18. marta. ESET detektuje ovu pretnju kao Win{32|64}/HotPage.A i Win{32|64}/HotPage.B.
Ubacivanje biblioteka u pretraživače obavlja HotPage drajver, koji pomaže u uređivanju URL-ova i otvaranju novih kartica. Za injekciju, koristi Blackbone za praćenje različitih procesa kao i odgovora u .\KNewTableBaseIo.
Kod ubačen u procese su ciljani moduli koji preusmjeravaju korisnike na oglasne stranice dok spajaju SSL_read/write u svrhu manipulacije prometom. Ovaj upravljački program potencijalno može dovesti do eskalacije privilegija bez odgovarajućih kontrola pristupa, stoji u izvještaju ESET-a.
Pojednostavljena logika vozača (Izvor – Welivesecurity)
Postoje dva scenarija eksploatacije koji uključuju proizvoljno ubrizgavanje DLL-a u procese, a izmjena komandnih linija novih procesa može rezultirati izvršavanjem koda sa SISTEMskim privilegijama.
Ovo uključuje šifrovane konfiguracije (chromedll, hotPage, newtalbe) koje se koriste za ciljanje pretraživača, definisanje pravila ubrizgavanja i upravljanje reklamnim sadržajem.
Upravljački program takođe koristi različite vrste preusmjeravanja koja mogu narušiti sigurnosna pravila bilo kojeg pretrezivač.
HotPage adver drajver pokazuje neke napredne tehnike, na primer, komponentu kernela za manipulaciju procesom i sertifikat za potpisivanje koda koji izdaje Microsoft.
Zbog toga je teško razlikovati legitimne i lažne certifikate. HotPage je klasifikovan kao reklamni softver, ali njegove mane omogućavaju korisnicima bez administratorskih privilegija da dobiju pristup sistemu ili ubace DLL-ove u udaljene procese.
Microsoft je 1. maja 2024. povukao HotPage iz kataloga Windows Servera. Shodno tome, ESET ga klasifikuje kao Win{32|64}/HotPage.A i Win{32|64}/HotPage.B otkriva kako se bezopasna aplikacija može iskoristiti da ugrozi osnovne sisteme.
Izvor:CybersecurityNews
