Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»

✔Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»

20 июля 2024 400 Новости / Отступы и поля / Видео уроки / Преимущества стилей / Изображения 0

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на  Windows-хостах.


Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы.


Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров.


«В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты.


Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司).


Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках).


Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System.


«Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET.


Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей.



Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»


«Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на Windows-хостах. Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы. Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров. «В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты. Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司). Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках). Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System. «Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET. Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей. «Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: