HotPage.exe: рекламный троян с сертификатом Microsoft

В конце 2023 года исследователи столкнулись с интригующей находкой - установщиком под названием HotPage.exe. На первый взгляд, это приложение казалось очередным рекламным ПО. Однако более глубокий анализ выявил, что за безобидным фасадом скрывается сложная вредоносная программа с впечатляющими возможностями.

HotPage.exe устанавливает драйвер, способный внедрять код в удаленные процессы, а также две библиотеки, перехватывающие и модифицирующие сетевой трафик браузеров. Это позволяет вредоносу изменять содержимое запрашиваемых веб-страниц, перенаправлять пользователя на другие сайты или открывать новые вкладки при определенных условиях.

Особое внимание исследователей привлек тот факт, что драйвер был подписан сертификатом Microsoft . Согласно подписи, он был разработан китайской компанией 湖北盾网网络科技有限公司 (Hubei Dunwang Network Technology Co., Ltd). Отсутствие какой-либо информации об этой фирме только подогрело интерес экспертов.

Программа рекламировалась как "решение для безопасности интернет-кафе", нацеленное на китайскоязычную аудиторию. Программа якобы должна была упрощать работу в интернете, блокируя рекламу и вредоносные сайты. Однако в реальности ее основной целью было внедрение игровой рекламы в браузеры пользователей.

Этот компонент ядра также непреднамеренно оставляет лазейку для других угроз. Из-за неправильных ограничений доступа любые процессы могут взаимодействовать с драйвером и эксплуатировать его возможности.

Исследователи сообщили о проблеме в Microsoft 18 марта 2024 года. После проверки Microsoft Security Response Center (MSRC) определил, что уязвимость больше не актуальна, так как проблемный драйвер был удален из каталога Windows Server 1 мая 2024 года.

Изучая цифровую подпись драйвера, эксперты обнаружили, что китайская компания прошла процесс проверки Microsoft для подписи кода драйверов и получила сертификат расширенной проверки (Extended Verification, EV). Очевидно, злоумышленники приложили немалые усилия для придания легитимности своему продукту.

Как выявило дальнейшее расследование, компания была зарегистрирована 6 января 2022 года. Согласно официальным данным, сфера ее деятельности включает разработку технологий, консультирование и рекламные услуги. Основным акционером является небольшая фирма Wuhan Yishun Baishun Culture Media Co., Ltd, специализирующаяся на рекламе и маркетинге.

В апреле и мае 2022 года компания подала заявки на регистрацию торговой марки "Shield Internet Café Security Defense". 22 февраля 2022 года был создан веб-сайт dwadsafe[.]com, который на момент исследования был недоступен.

При изучении сайта программы исследователи обнаружили интересное несоответствие. Продукт рекламировался как "платформа активной защиты для интернет-кафе", но лицензионное соглашение содержало противоречивую информацию. В одном пункте говорилось, что DwAdsafe не имеет функций перехвата и никак не влияет на другие программы. Однако другой пункт того же соглашения утверждал, что программа обладает широкими возможностями контроля над компьютером, включая перехват, мониторинг и даже удаление данных.

Технический анализ установщика HotPage.exe выявил следующие особенности:

1. Файл был сжат упаковщиком UPX.
2. Установщик содержал зашифрованные версии драйвера, библиотек для внедрения в процессы браузеров и три JSON-файла конфигурации.
3. При запуске программа проверяет, не запущена ли она в виртуальной среде, используя инструкцию CPUID.
4. Драйвер сохраняется в папке C:WindowsShieldNetWorkBusiness под случайным именем из 7 символов с расширением .sys.
5. Создается служба для запуска драйвера, но без механизмов автозапуска.

Установщик взаимодействует с драйвером через его файловое устройство, используя следующие коды управления ввода-вывода:

• 0x9C4013FC – отправка 32-битной библиотеки для внедрения в процессы браузеров.
• 0x9C400FFC – отправка 64-битной библиотеки для внедрения в процессы браузеров.
• 0x9C40173C – отправка конфигурации chromedll.
• 0x9C400BFC – отправка обновленной конфигурации newtalbe.

Конфигурационный файл newtalbe содержит важную информацию для работы вредоноса, в том числе:

• Шаблоны URL для сбора статистики.
• Список доменов для перенаправления пользователя.
• API-endpoints для обновления списка игровых доменов и отправки информации о зараженном компьютере.
• Списки шаблонов для применения правил перенаправления.

Драйвер создает два потока: один для внедрения библиотек в процессы браузеров, другой для открытия новых вкладок. Он также устанавливает обработчики уведомлений о создании процессов и загрузке исполняемых образов для мониторинга новых процессов.

Внедренная библиотека перехватывает функции SSL_read и SSL_write, что позволяет манипулировать расшифрованным TLS-трафиком. Для этого используются специальные шаблоны, найденные в загруженных модулях браузера.

Библиотека также перехватывает функцию NtDeviceIoControlFile для обработки определенных IOCTL-кодов. Это позволяет отменять DNS-запросы и модифицировать исходящие и входящие HTTP-запросы на основе правил из конфигурационных файлов.

Таким образом, под видом программы для повышения безопасности интернет-кафе злоумышленники создали сложное вредоносное ПО, способное манипулировать сетевым трафиком и внедрять рекламу. Этот случай демонстрирует, насколько изощренными могут быть современные киберугрозы и подчеркивает важность тщательного анализа даже на первый взгляд безобидных приложений.