Last Updated on 2024-07-19 04:19 by admin
サイバーセキュリティ研究者は、広告や悪意のあるウェブサイトをブロックすると称するアドウェアモジュールについて解明した。このアドウェアは、Windowsホスト上で権限を持つ任意のコードを実行できるカーネルドライバーコンポーネントを密かにインストールする。このマルウェアは「HotPage」と名付けられ、「HotPage.exe」というインストーラーを介して配布される。インストーラーは、リモートプロセスにコードを注入するドライバーと、ブラウザのネットワークトラフィックを傍受・改ざんする2つのライブラリを展開する。
このマルウェアは、ブラウザのトラフィック傍受とフィルタリング機能を利用してゲーム関連の広告を表示するとともに、システム情報を収集し、中国の湖北盾網网络科技有限公司に関連するリモートサーバーに送信する。ドライバーの主な目的は、ブラウザアプリケーションにライブラリを注入し、実行フローを変更してアクセスされるURLを変更するか、新しいウェブブラウザインスタンスのホームページを特定のURLにリダイレクトすることである。
ドライバーにアクセス制御リスト(ACL)がないため、特権のないアカウントを持つ攻撃者がそれを利用してNT AUTHORITY\Systemアカウントとしてコードを実行し、高い権限を得ることが可能である。インストーラーの配布方法は不明だが、インターネットカフェ向けのセキュリティソリューションとして広告され、ユーザーのブラウジング体験を向上させることを目的としていることが示されている。このドライバーはMicrosoftによって署名されており、湖北盾網网络科技有限公司はMicrosoftのドライバーコード署名要件を満たし、拡張検証(EV)証明書を取得したと考えられている。このドライバーは2024年5月1日にWindows Server Catalogから削除された。
【ニュース解説】
サイバーセキュリティの研究者たちは、広告ブロッカーを装ったアドウェア「HotPage」が、Windowsホスト上で権限を持つ任意のコードを実行できるカーネルドライバーコンポーネントを密かにインストールすることを明らかにしました。このアドウェアは、インターネット上の広告や悪意のあるウェブサイトをブロックすると主張しながら、実際にはブラウザのトラフィックを傍受し、改ざんする能力を持つ2つのライブラリと、リモートプロセスにコードを注入するドライバーを展開します。
このマルウェアは、ブラウザのトラフィックを通じてゲーム関連の広告を表示するだけでなく、システム情報を収集し、中国の企業に送信することで、ユーザーのプライバシーを侵害します。さらに、ドライバーにはアクセス制御リスト(ACL)がないため、攻撃者が高い権限を持つNT AUTHORITY\Systemアカウントとしてコードを実行することが可能になります。
このアドウェアの配布方法は不明ですが、インターネットカフェ向けのセキュリティソリューションとして宣伝されていることが示されています。特に注目すべき点は、このドライバーがMicrosoftによって署名されていることです。これは、湖北盾網网络科技有限公司がMicrosoftの厳しいドライバーコード署名要件を満たし、拡張検証(EV)証明書を取得したことを意味します。しかし、このドライバーは2024年5月1日にWindows Server Catalogから削除されました。
この事例は、アドウェア開発者が目的を達成するために、プロセスを操作するための高度な技術を開発するだけでなく、Microsoftのコード署名証明書を取得するなど、セキュリティ対策を回避するための手段を模索し続けていることを示しています。このようなマルウェアは、ユーザーのセキュリティとプライバシーに深刻な脅威をもたらし、信頼できる署名が悪用されることで、セキュリティ対策の信頼性が損なわれる可能性があります。
この事態は、セキュリティ対策の重要性を再認識させるとともに、ユーザーに対して、信頼できるソースからのみソフトウェアをダウンロードし、インストールするよう注意を促すものです。また、企業や組織は、セキュリティ対策を常に最新の状態に保ち、未知の脅威に対しても迅速に対応できるよう、体制を整える必要があります。
from Alert: HotPage Adware Disguised as Ad Blocker Installs Malicious Kernel Driver.
