Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»

✔Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»

20 июля 2024 356 Новости / Отступы и поля / Видео уроки / Преимущества стилей / Изображения 0

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на  Windows-хостах.


Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы.


Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров.


«В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты.


Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司).


Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках).


Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System.


«Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET.


Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей.



Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»


«Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на Windows-хостах. Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы. Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров. «В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты. Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司). Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках). Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System. «Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET. Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей. «Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: