Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на  Windows-хостах.


Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы.


Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров.


«В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты.


Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司).


Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках).


Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System.


«Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET.


Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей.



Фальшивый блокировщик рекламы способен запускать произвольный код в Windows-системах - «Новости»


«Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании ESET обнаружили рекламную малварь, которая распространяется под видом блокировщика рекламы. Вредонос незаметно загружает компонент драйвера ядра, предоставляя злоумышленникам возможность запускать произвольный код с повышенными привилегиями на Windows-хостах. Вредонос, получивший название HotPage (от одноименного инсталлятора HotPage.exe), активен с конца 2023 года. Точный метод распространения инсталлятора малвари неизвестен, но, судя по всему, он рекламируется как защитное решение для интернет-кафе, предназначенное для улучшения просмотра веб-страниц и блокировки рекламы. Исследователи рассказывают, что этот инсталлятор развертывает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, способные перехватывать и вмешиваться в сетевой трафик браузеров. «В результате вредоносная программа способна изменять и подменять содержимое запрашиваемой страницы, перенаправлять пользователя на другую страницу или открывать новую страницу в новой вкладке, основываясь на определенных критериях», — пишут эксперты. Помимо возможностей в области перехвата и фильтрации трафика для показа нежелательной рекламы (в основном связанной с играми), вредонос предназначен для сбора и хищения системной информации. Собранные данные передаются на удаленный сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司). Это реализуется с помощью драйвера, основной целью которого является внедрение библиотек в приложения браузеров и изменение процесса их выполнения (ради подмены URL-адресов и перенаправления домашних страниц браузеров на определенный URL-адрес, указанный в настройках). Более того, отсутствие ACL (Access Control List) для этого драйвера позволяло злоумышленникам с непривилегированной учетной записью получить повышенные права и запускать код с правами уровня System. «Этот компонент ядра непреднамеренно открывает двери для угроз, связанных с запуском кода с наивысшим уровнем привилегий в операционной системе Windows: учетной записью System. Из-за неправильно реализованных ограничений этого компонента ядра, злоумышленник с непривилегированной учетной записью мог получить повышенные привилегии и запускать код от лица учетной записи NT AUTHORITYystem», — предупреждает ESET. Также упомянутый драйвер примечателен тем, что подписан компанией Microsoft. Предполагается, что китайская компания смогла пройти проверки Microsoft и получила сертификат Extended Verification (EV). Он был удален из Windows Server Catalog лишь 1 мая 2024 года, после предупреждения от исследователей. «Анализ этой довольно заурядной угрозы еще раз доказал, что разработчики adware по-прежнему готовы идти на все ради достижения своих целей. Они не только разработали компонент ядра, позволяющий манипулировать процессами, но и сумели выполнить требования Microsoft, чтобы получить сертификат для подписи для своего драйверного компонента», — заключают исследователи.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: