Dijital güvenlik şirketi ESET, gelişmiş bir Çin tarayıcı enjektörü keşfetti. Gizemli bir Çin şirketinin reklamlarını ekleyen savunmasız bir sürücü, reklam engelleyici bir güvenlik ürünü gibi görünse de daha fazla reklam yayınlıyor. ESET’in HotPage olarak adlandırdığı bu tehdit, ana sürücüsünü yükleyen ve kitaplıkları Chromium tabanlı tarayıcılara ekleyen yürütülebilir bir dosyada bulunuyor. Reklamları engelleyen bir güvenlik ürünü gibi görünse de aslında yenilerini yayınlıyor. Ayrıca kötü amaçlı yazılım, mevcut sayfanın içeriğini değiştirebilir, kullanıcıyı yönlendirebilir veya başka reklamlarla dolu bir web sitesinde yeni bir sekme açabilir. Kötü amaçlı yazılımlar daha fazla güvenlik açığı yaratır ve sisteminizi daha da tehlikeli tehditlere maruz bırakır. Ayrıcalıklı olmayan bir hesaba sahip bir saldırgan, meşru, imzalı bir sürücü kullanırken SİSTEM ayrıcalıkları kazanmak veya kitaplığı uzak işlemlere enjekte ederek daha fazla hasara neden olmak için güvenlik açığı bulunan sürücüden yararlanabilir. 2023’ün sonlarında ESET araştırmacıları, uzak işlemlere kod enjekte edebilen bir sürücü ve tarayıcı ağ trafiğini yakalayabilen ve değiştirebilen iki kitaplık dağıtan “HotPage.exe” adlı bir yükleyiciyle karşılaştı. Yükleyici, çoğu güvenlik ürünü tarafından bir reklam yazılımı bileşeni olarak algılandı. ESET araştırmacılarını gerçekten etkileyen şey Microsoft markalı yerleşik sürücü oldu. İmzasına göre Hubei Dunwang Network Technology Co. Ltd. adlı Çinli bir şirket tarafından geliştirildi. Tehdidi keşfeden ESET araştırmacısı Romain Dumont şunları söyledi: “Şirket hakkında bilgi eksikliği merak uyandırıcıydı. Dağıtım yöntemi henüz belli değil ancak araştırmamıza göre bu yazılım, Çin’e yönelik bir internet kafe güvenliği olarak tanıtılıyor. People Talking, reklamları ve kötü amaçlı web sitelerini engelleyerek web’de gezinme deneyimini iyileştirdiğini iddia ediyor, ancak “Gerçek oldukça farklı; oyunla ilgili reklamları görüntülemek için tarayıcı trafiğini durdurma ve filtreleme özelliklerini kullanır ve muhtemelen bilgisayarınızla ilgili bazı bilgiler gönderir. Yükleme istatistiklerini toplamak için şirketin sunucusuna.” Mevcut bilgilere göre şirketin iş kapsamı, geliştirme, hizmetler ve danışmanlık gibi teknolojiyle ilgili faaliyetlerin yanı sıra reklam faaliyetlerini de içermektedir. Ana hissedar şu anda Wuhan Yishun Baishun Culture Media Co.’dur. Ltd, reklam ve pazarlama konusunda uzmanlaşmış görünen çok küçük bir şirket. Sürücüyü yüklemek için gereken ayrıcalık düzeyi nedeniyle, kötü amaçlı yazılım diğer yazılım paketleriyle birlikte paketlenmiş veya sürücü bileşeni olan Windows bildirim geri aramaları olarak tanıtılmış olabilir. Belirli koşullar altında, reklam yazılımı, Microsoft’un Detours kancalama kitaplığını kullanarak ağa müdahale eden kitaplıklarını, eklenen filtreleri, HTTP(S) isteklerini ve yanıtlarını yüklemek üzere tarayıcı işlemlerine kabuk kodu enjekte etmek için çeşitli teknikler kullanır. Kötü amaçlı yazılım, mevcut sayfanın içeriğini değiştirebilir, kullanıcıyı yönlendirebilir veya oyun reklamlarıyla dolu bir web sitesinde yeni bir sekme açabilir. Bu çekirdek bileşeni, bariz kötü niyetli davranışının yanı sıra, diğer tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık düzeyinde kod yürütmesine de kapıyı açık bırakır: SYSTEM hesabı. Bu çekirdek bileşenine uygunsuz erişim kısıtlamaları nedeniyle, herhangi bir işlem bu bileşenle iletişim kurabilir ve korumasız işlemleri hedeflemek için kod enjeksiyonundan yararlanabilir. “HotPage sürücüsü bize Genişletilmiş Doğrulama sertifikalarının kötüye kullanımının hala bir gerçek olduğunu hatırlatıyor. Birçok güvenlik modeli bir noktada güvene dayandığından, tehdit aktörleri bu tür yazılımların bir güvenlik çözümü olarak tanıtılıp tanıtılmadığına bakılmaksızın meşru ve şüpheli arasındaki çizgiyi oynama eğilimindedir. Diğer yazılımlarla birlikte gelen bu güven yoluyla elde edilen özellikler, kullanıcıları güvenlik risklerine maruz bırakıyor.” ESET, bu sürücüyü Mart 2024’te Microsoft’a bildirdi ve koordineli güvenlik açığı açıklama sürecini izledi. ESET teknolojileri, Microsoft’un Mayıs ayında Windows Server kataloğundan kaldırdığı bu tehdidi tespit etti. 1, 2024, Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak Kaynak: (guzelhaber.net) White Haber Ajansı
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–