Le HotPage Adware : Un Nouveau Danger en Ligne
Récemment, des chercheurs en cybersécurité ont mis en lumière un adware prétendant bloquer les publicités et les sites malveillants, tout en déployant clandestinement un composant pilote noyau permettant aux attaquants de faire tourner du code arbitraire avec des permissions élevées sur des hôtes Windows. Ce malware, baptisé HotPage, tire son nom du programme d’installation intitulé « HotPage.exe », selon les nouvelles découvertes d’ESET.
Ce programme d’installation met en œuvre un pilote capable d’injecter du code dans des processus distants et deux bibliothèques susceptibles d’intercepter et de manipuler le trafic réseau des navigateurs. Ainsi, il peut modifier ou remplacer le contenu d’une page demandée, rediriger l’utilisateur vers une autre page, ou ouvrir une nouvelle page dans un nouvel onglet en fonction de certaines conditions.
Pour en savoir plus, vous pouvez consulter le dossier de recherche d’ESET.
Fonctionnalités Cachées et Conséquences
Outre ses capacités d’interception et de filtrage du trafic des navigateurs pour afficher des publicités liées aux jeux, il est conçu pour collecter et exfiltrer des informations système vers un serveur distant affilié à une entreprise chinoise nommée Hubei Dunwang Network Technology Co., Ltd. Cela est rendu possible par un pilote dont l’objectif principal est d’injecter les bibliothèques dans les applications navigateurs et d’altérer leur flux d’exécution pour modifier l’URL consultée ou rediriger la page d’accueil du navigateur vers une URL spécifique définie dans une configuration.
De plus, l’absence de listes de contrôle d’accès (ACL) pour ce pilote signifie qu’un attaquant avec un compte non privilégié pourrait l’utiliser pour obtenir des privilèges élevés et exécuter du code en tant que compte NT AUTHORITY\Système. Cette composante du noyau, mal sécurisée, laisse la porte ouverte à d’autres menaces pour exécuter du code au niveau de privilège le plus élevé disponible dans le système d’exploitation Windows. À cause d’un contrôle d’accès inadéquat, n’importe quel processus peut communiquer avec ce pilote et utiliser sa capacité d’injection de code pour cibler des processus non protégés.
Pour mieux comprendre les implications, vous pouvez visionner l’analyse de Cisco Talos sur comment les acteurs de menaces exploitent les failles de politique Windows.
Selon les experts de la firme slovaque ESET, la méthode de distribution précise de ce programme d’installation demeure inconnue. Toutefois, il a été observé qu’il est souvent promu comme une solution de sécurité pour les cybercafés, visant à améliorer l’expérience de navigation des utilisateurs en bloquant les publicités.
Une caractéristique notable de ce pilote est qu’il est signé par Microsoft. Il semblerait que l’entreprise chinoise ait réussi à obtenir un certificat d’Extended Verification (EV) en suivant les exigences de signature de code imposées par Microsoft, bien que ce certificat ait été retiré du Windows Server Catalog au 1er mai 2024. En effet, les pilotes en mode noyau doivent être signés numériquement pour être chargés par le système d’exploitation Windows, un moyen de défense crucial mis en place par Microsoft pour se protéger contre les pilotes malveillants pouvant subvertir les contrôles de sécurité et interférer avec les processus système.
Pour un approfondissement du sujet, visitez Security Boulevard.
Néanmoins, Cisco Talos a révélé en juillet dernier comment des acteurs de menaces de langue chinoise natifs exploitent une faille de la politique Windows de Microsoft pour forger des signatures sur des pilotes en mode noyau.
L’analyse de ce malware, apparemment ordinaire, démontre une fois de plus que les développeurs d’adware sont prêts à de grands efforts pour atteindre leurs objectifs. Non seulement ils ont développé un composant noyau avec un ensemble de techniques avancées pour manipuler les processus, mais ils ont également rempli les exigences imposées par Microsoft pour obtenir un certificat de signature de code pour leur composant pilote.
En résumé, il est impératif de rester vigilant face à de telles menaces. Assurez-vous de maintenir vos systèmes à jour et d’utiliser des solutions de sécurité robustes pour protéger vos informations personnelles et votre expérience de navigation. Pour rapporter des échantillons de virus ou de faux positifs potentiels à ESET, vous pouvez suivre les instructions disponibles ici.
Implications sécuritaires : Ce que vous devez savoir
Le malware HotPage présente plusieurs risques significatifs pour les entreprises et les particuliers. En permettant aux attaquants d’exécuter du code avec des privilèges élevés, il expose les systèmes à des attaques encore plus graves, telles que le vol de données sensibles, le contrôle total du système et l’installation de logiciels malveillants supplémentaires. La capacité de ce malware à récolter des informations système et à modifier le trafic réseau des navigateurs peut également compromettre la confidentialité et l’intégrité des communications en ligne.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Pour se prémunir contre les risques apportés par le HotPage Adware, il est essentiel de suivre certaines mesures de sécurité. Assurez-vous que tous les logiciels et pilotes sont à jour avec les derniers correctifs de sécurité. Utilisez des solutions de sécurité robustes et fiables pour détecter et éliminer les logiciels malveillants. Évitez de télécharger et d’installer des logiciels provenant de sources non vérifiées ou non officielles. Enfin, configurez correctement les listes de contrôle d’accès pour limiter les permissions des pilotes et surveillez régulièrement les activités réseau suspectes. Ces mesures peuvent significativement réduire les risques de compromission de vos systèmes.
