محققان امنیت سایبری ESET یک ماژول ابزارهای تبلیغاتی مزاحم موسوم به HotPage را بررسی کردهاند که ظاهرا با ادعای مسدودسازی تبلیغات و وبسایتهای مخرب، اقدام به بارگذاری مخفیانه یک مؤلفه درایور کرنل میکند که امکان اجرای کد دلخواه با دسترسیهای بالا روی میزبانهای ویندوز را برای مهاجمان فراهم میسازد. بر اساس یافتههای جدید ESET، بدافزار HotPage نام خود را از نصبکننده همنام “HotPage.exe” گرفته است.
به طور کلی، این نصبکننده درایوری را مستقر میکند که امکان تزریق کد به فرآیندهای راه دور و دو کتابخانه را دارد و قادر به رهگیری و دستکاری ترافیک شبکه مرورگرها است. در واقع نصبکننده، درایور را روی دیسک دراپ میکند و سرویسی را برای اجرای آن راهاندازی میکند. فایل پیکربندی خود را که حاوی فهرستی از مرورگرها و کتابخانههای مبتنی بر Chromium است، رمزگشایی میکند.
اگر این فایلهای اجرایی در حال اجرا یا بارگیری یافت شوند، درایور سعی میکند یکی از کتابخانههای فهرست شده را به فرآیند مرورگر تزریق کند. پس از قلاب کردن توابع Windows API مبتنی بر شبکه، کتابخانه تزریق شده URL مورد نظر را بررسی میکند و تحت شرایط خاص، صفحه دیگری را از طریق روشهای مختلف به کاربر نمایش میدهد. این بدافزار قادر است:
- محتویات یک صفحه درخواستی را تغییر دهد یا جایگزین کند.
- کاربر را به صفحه دیگری هدایت کند.
- یا براساس شرایط خاصی صفحه جدیدی را در برگه جدید باز کند.
