Как вирус-обманщик захватывал интернет-кафе.
В конце 2023 года исследователи столкнулись с Для просмотра ссылки Войдиили Зарегистрируйся - установщиком под названием HotPage.exe. На первый взгляд, это приложение казалось очередным рекламным ПО. Однако более глубокий анализ выявил, что за безобидным фасадом скрывается сложная вредоносная программа с впечатляющими возможностями.
HotPage.exe устанавливает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, перехватывающие и модифицирующие сетевой трафик браузеров. Это позволяет вредоносу изменять содержимое запрашиваемых веб-страниц, перенаправлять пользователя на другие сайты или открывать новые вкладки при определенных условиях.
Особое внимание исследователей привлек тот факт, что драйвер был подписан сертификатом Microsoft . Согласно подписи, он был разработан китайской компанией 湖北盾网网络科技有限公司 (Hubei Dunwang Network Technology Co., Ltd). Отсутствие какой-либо информации об этой фирме только подогрело интерес экспертов.
Программа рекламировалась как "решение для безопасности интернет-кафе", нацеленное на китайскоязычную аудиторию. Программа якобы должна была упрощать работу в интернете, блокируя рекламу и вредоносные сайты. Однако в реальности ее основной целью было внедрение игровой рекламы в браузеры пользователей.
Этот компонент ядра также непреднамеренно оставляет лазейку для других угроз. Из-за неправильных ограничений доступа любые процессы могут взаимодействовать с драйвером и эксплуатировать его возможности.
Исследователи сообщили о проблеме в Microsoft 18 марта 2024 года. После проверки Microsoft Security Response Center (MSRC) определил, что уязвимость больше не актуальна, так как проблемный драйвер был удален из каталога Windows Server 1 мая 2024 года.
Изучая цифровую подпись драйвера, эксперты обнаружили, что китайская компания прошла процесс проверки Microsoft для подписи кода драйверов и получила сертификат расширенной проверки (Extended Verification, EV). Очевидно, злоумышленники приложили немалые усилия для придания легитимности своему продукту.
Как выявило дальнейшее расследование, компания была зарегистрирована 6 января 2022 года. Согласно официальным данным, сфера ее деятельности включает разработку технологий, консультирование и рекламные услуги. Основным акционером является небольшая фирма Wuhan Yishun Baishun Culture Media Co., Ltd, специализирующаяся на рекламе и маркетинге.
В апреле и мае 2022 года компания подала заявки на регистрацию торговой марки "Shield Internet Café Security Defense". 22 февраля 2022 года был создан веб-сайт dwadsafe[.]com, который на момент исследования был недоступен.
При изучении сайта программы исследователи обнаружили интересное несоответствие. Продукт рекламировался как "платформа активной защиты для интернет-кафе", но лицензионное соглашение содержало противоречивую информацию. В одном пункте говорилось, что DwAdsafe не имеет функций перехвата и никак не влияет на другие программы. Однако другой пункт того же соглашения утверждал, что программа обладает широкими возможностями контроля над компьютером, включая перехват, мониторинг и даже удаление данных.
Технический анализ установщика HotPage.exe выявил следующие особенности:
Внедренная библиотека перехватывает функции SSL_read и SSL_write, что позволяет манипулировать расшифрованным TLS-трафиком. Для этого используются специальные шаблоны, найденные в загруженных модулях браузера.
Библиотека также перехватывает функцию NtDeviceIoControlFile для обработки определенных IOCTL-кодов. Это позволяет отменять DNS-запросы и модифицировать исходящие и входящие HTTP-запросы на основе правил из конфигурационных файлов.
Таким образом, под видом программы для повышения безопасности интернет-кафе злоумышленники создали сложное вредоносное ПО, способное манипулировать сетевым трафиком и внедрять рекламу. Этот случай демонстрирует, насколько изощренными могут быть современные киберугрозы и подчеркивает важность тщательного анализа даже на первый взгляд безобидных приложений.
В конце 2023 года исследователи столкнулись с Для просмотра ссылки Войди
HotPage.exe устанавливает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, перехватывающие и модифицирующие сетевой трафик браузеров. Это позволяет вредоносу изменять содержимое запрашиваемых веб-страниц, перенаправлять пользователя на другие сайты или открывать новые вкладки при определенных условиях.
Особое внимание исследователей привлек тот факт, что драйвер был подписан сертификатом Microsoft . Согласно подписи, он был разработан китайской компанией 湖北盾网网络科技有限公司 (Hubei Dunwang Network Technology Co., Ltd). Отсутствие какой-либо информации об этой фирме только подогрело интерес экспертов.
Программа рекламировалась как "решение для безопасности интернет-кафе", нацеленное на китайскоязычную аудиторию. Программа якобы должна была упрощать работу в интернете, блокируя рекламу и вредоносные сайты. Однако в реальности ее основной целью было внедрение игровой рекламы в браузеры пользователей.
Этот компонент ядра также непреднамеренно оставляет лазейку для других угроз. Из-за неправильных ограничений доступа любые процессы могут взаимодействовать с драйвером и эксплуатировать его возможности.
Исследователи сообщили о проблеме в Microsoft 18 марта 2024 года. После проверки Microsoft Security Response Center (MSRC) определил, что уязвимость больше не актуальна, так как проблемный драйвер был удален из каталога Windows Server 1 мая 2024 года.
Изучая цифровую подпись драйвера, эксперты обнаружили, что китайская компания прошла процесс проверки Microsoft для подписи кода драйверов и получила сертификат расширенной проверки (Extended Verification, EV). Очевидно, злоумышленники приложили немалые усилия для придания легитимности своему продукту.
Как выявило дальнейшее расследование, компания была зарегистрирована 6 января 2022 года. Согласно официальным данным, сфера ее деятельности включает разработку технологий, консультирование и рекламные услуги. Основным акционером является небольшая фирма Wuhan Yishun Baishun Culture Media Co., Ltd, специализирующаяся на рекламе и маркетинге.
В апреле и мае 2022 года компания подала заявки на регистрацию торговой марки "Shield Internet Café Security Defense". 22 февраля 2022 года был создан веб-сайт dwadsafe[.]com, который на момент исследования был недоступен.
При изучении сайта программы исследователи обнаружили интересное несоответствие. Продукт рекламировался как "платформа активной защиты для интернет-кафе", но лицензионное соглашение содержало противоречивую информацию. В одном пункте говорилось, что DwAdsafe не имеет функций перехвата и никак не влияет на другие программы. Однако другой пункт того же соглашения утверждал, что программа обладает широкими возможностями контроля над компьютером, включая перехват, мониторинг и даже удаление данных.
Технический анализ установщика HotPage.exe выявил следующие особенности:
- Файл был сжат упаковщиком UPX.
- Установщик содержал зашифрованные версии драйвера, библиотек для внедрения в процессы браузеров и три JSON-файла конфигурации.
- При запуске программа проверяет, не запущена ли она в виртуальной среде, используя инструкцию CPUID.
- Драйвер сохраняется в папке C:\Windows\ShieldNetWork\Business\ под случайным именем из 7 символов с расширением .sys.
- Создается служба для запуска драйвера, но без механизмов автозапуска.
- 0x9C4013FC – отправка 32-битной библиотеки для внедрения в процессы браузеров.
- 0x9C400FFC – отправка 64-битной библиотеки для внедрения в процессы браузеров.
- 0x9C40173C – отправка конфигурации chromedll.
- 0x9C400BFC – отправка обновленной конфигурации newtalbe.
- Шаблоны URL для сбора статистики.
- Список доменов для перенаправления пользователя.
- API-endpoints для обновления списка игровых доменов и отправки информации о зараженном компьютере.
- Списки шаблонов для применения правил перенаправления.
Внедренная библиотека перехватывает функции SSL_read и SSL_write, что позволяет манипулировать расшифрованным TLS-трафиком. Для этого используются специальные шаблоны, найденные в загруженных модулях браузера.
Библиотека также перехватывает функцию NtDeviceIoControlFile для обработки определенных IOCTL-кодов. Это позволяет отменять DNS-запросы и модифицировать исходящие и входящие HTTP-запросы на основе правил из конфигурационных файлов.
Таким образом, под видом программы для повышения безопасности интернет-кафе злоумышленники создали сложное вредоносное ПО, способное манипулировать сетевым трафиком и внедрять рекламу. Этот случай демонстрирует, насколько изощренными могут быть современные киберугрозы и подчеркивает важность тщательного анализа даже на первый взгляд безобидных приложений.
- Источник новости
- www.securitylab.ru