Pesquisadores de cibersegurança revelaram detalhes sobre um módulo adware que alega bloquear anúncios e websites maliciosos, enquanto secretamente instala um componente de driver de kernel que concede aos atacantes a capacidade de executar código arbitrário com permissões elevadas em hosts Windows.
O malware, chamado HotPage, recebe seu nome do instalador homônimo (“HotPage.exe”), de acordo com novas descobertas da ESET, que descobriu o malware no final de 2023.
O instalador “implanta um driver capaz de injetar código em processos remotos e duas bibliotecas capazes de interceptar e manipular o tráfego de rede dos navegadores”, disse o pesquisador da ESET, Romain Dumont, em uma análise técnica publicada hoje.
“O malware pode modificar ou substituir o conteúdo de uma página solicitada, redirecionar o usuário para outra página ou abrir uma nova página em uma nova aba com base em certas condições.”
Além de aproveitar suas capacidades de interceptação de tráfego de navegador e filtragem para exibir anúncios relacionados a jogos, o malware foi projetado para coletar e exfiltrar informações do sistema para um servidor remoto associado a uma empresa chinesa chamada Hubei Dunwang Network Technology Co., Ltd.
Isso é feito por meio de um driver, cujo objetivo principal é injetar as bibliotecas nas aplicações dos navegadores e alterar o fluxo de execução deles para modificar o URL acessado ou garantir que a página inicial da nova instância do navegador da web seja redirecionada para um URL específico especificado em uma configuração.
Isso não é tudo. A ausência de listas de controle de acesso (ACLs) para o driver significa que um atacante com uma conta não privilegiada poderia usá-lo para obter privilégios elevados e executar código como a conta NT AUTHORITYSystem.
“Este componente de kernel deixa inadvertidamente a porta aberta para outras ameaças executarem código no mais alto nível de privilégio disponível no sistema operacional Windows: a conta do System”, disse Dumont. “Devido às restrições de acesso inadequadas a este componente de kernel, qualquer processo pode se comunicar com ele e aproveitar sua capacidade de injeção de código para atingir quaisquer processos não protegidos.”
Embora o método exato pelo qual o instalador é distribuído não seja conhecido, evidências reunidas pela empresa de cibersegurança eslovaca mostram que ele foi anunciado como uma solução de segurança para cafés da internet destinada a melhorar a experiência de navegação dos usuários ao bloquear anúncios.
O driver incorporado é notável pelo fato de ser assinado pela Microsoft. Acredita-se que a empresa chinesa tenha passado pelos requisitos de assinatura de código de driver da Microsoft e conseguiu obter um certificado de Verificação Estendida (EV). Ele foi removido do Catálogo do Windows Server a partir de 1º de maio de 2024.
Os drivers de modo kernel são necessários para serem digitalmente assinados para serem carregados pelo sistema operacional Windows, uma camada importante de defesa estabelecida pela Microsoft para proteger contra drivers maliciosos que poderiam ser utilizados para subverter controles de segurança e interferir nos processos do sistema.
No entanto, o Cisco Talos revelou em julho passado como atores de ameaças de língua chinesa estão explorando uma brecha na política da Microsoft Windows para forjar assinaturas em drivers de modo kernel.
“A análise deste malware com aparência genérica provou, mais uma vez, que os desenvolvedores de adware ainda estão dispostos a ir além para alcançar seus objetivos”, disse Dumont.
“Não apenas isso, eles desenvolveram um componente de kernel com um grande conjunto de técnicas para manipular processos, mas também cumpriram os requisitos impostos pela Microsoft para obter um certificado de assinatura de código para seu componente de driver.”