中国製アドウェア「HotPage」、Microsoft署名の下でカーネルレベルマルウェアに

中国製アドウェア「HotPage」、Microsoft署名の下でカーネルレベルマルウェアに - innovaTopia - (イノベトピア)

Microsoftによって署名された中国製のアドウェア「HotPage」がカーネルレベルのマルウェアであることが判明した。このアドウェアは、インターネットカフェ向けに偽の広告ブロッカーとして販売されていたが、実際にはウェブトラフィックを傍受し、ブラウザのコンテンツをリダイレクトして操作することで、さらに多くの広告を表示する。さらに、攻撃者が最高権限で悪意のあるコードを実行できるようにする脆弱性を持つシステムレベルのドライバーをドロップする。

ESETは3月18日にMicrosoftにHotPageを報告し、Microsoftは5月1日にWindows Serverカタログから削除した。HotPageは、ブラウザアプリケーションにライブラリを注入し、Windows API関数をフックしてブラウザ活動を傍受・変更し、被害者の画面に広告が詰まった新しいウェブページをリダイレクトまたは開く。また、コマンドアンドコントロールサーバーに接続して被害者に関する情報を送信し、攻撃に関連するデータを取得する。

HotPageはHubei Dunwang Network Technology Co. Ltdによって開発され、2022年1月6日に技術関連サービスを提供する目的で登録された。しかし、この会社のウェブサイトは現在は稼働していない。Microsoftのコード署名プロセスがどのようにしてこのような不正な会社とその明らかなマルウェアを許可したのかについて、Dark ReadingはMicrosoftにコメントを求めたが、コード署名が様々な方法で悪用されることは珍しくない。

【ニュース解説】

Microsoftによって署名された中国製のアドウェア「HotPage」が、実際にはカーネルレベルのマルウェアであることが明らかになりました。このアドウェアは、インターネットカフェで使用される偽の広告ブロッカーとして販売されていましたが、その実態はウェブトラフィックを傍受し、ブラウザのコンテンツをリダイレクトして操作することで、多数の広告を表示するものでした。さらに、攻撃者が最高権限で悪意のあるコードを実行できるようにする脆弱性を持つシステムレベルのドライバーをドロップする機能を持っています。

セキュリティ研究機関ESETは、この問題をMicrosoftに報告し、Microsoftは対応としてHotPageをWindows Serverカタログから削除しました。HotPageは、ブラウザアプリケーションにライブラリを注入し、Windows API関数をフックしてブラウザ活動を傍受・変更し、被害者の画面に広告が詰まった新しいウェブページをリダイレクトまたは開くことができます。また、コマンドアンドコントロールサーバーに接続して被害者に関する情報を送信し、攻撃に関連するデータを取得する機能も持っています。

HotPageはHubei Dunwang Network Technology Co. Ltdによって開発されましたが、この会社のウェブサイトは現在は稼働していません。Microsoftのコード署名プロセスがどのようにしてこのような不正な会社とその明らかなマルウェアを許可したのかについて、疑問が提起されています。コード署名が様々な方法で悪用されることは珍しくありませんが、この事例は、信頼された署名がどのようにして悪意ある目的で利用され得るかを示しています。

この事例から学べる重要な教訓は、ユーザーはMicrosoftを含むどの企業からのソフトウェアも盲目的に信頼すべきではないということです。ソフトウェアを使用する際には、その出所を慎重に検討し、可能であればオープンソースソフトウェアやバグ報奨金プログラムを持つ企業のソフトウェアを選択することが推奨されます。また、ソフトウェアの権限をできるだけ制限し、プログラムを隔離することで、潜在的なリスクを最小限に抑えることができます。

このようなマルウェアの発見とその後の対応は、セキュリティコミュニティと企業が連携してサイバーセキュリティの脅威に対処する方法の一例です。しかし、この事例はまた、セキュリティ対策が常に進化している脅威に追いつくためには、継続的な努力と警戒が必要であることを示しています。

from Microsoft-Signed Chinese Adware Opens the Door to Kernel Privileges.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 中国製アドウェア「HotPage」、Microsoft署名の下でカーネルレベルマルウェアに