DOLAR
35,4890
EURO
36,4468
ALTIN
3.044,93
BIST
9.829,90
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
Ankara
Hafif Yağmurlu
8°C
Ankara
8°C
Hafif Yağmurlu
Çarşamba Hafif Yağmurlu
6°C
Perşembe Açık
6°C
Cuma Çok Bulutlu
6°C
Cumartesi Parçalı Bulutlu
7°C

Sahte reklam engelleyiciye dikkat

ESET Research, Çinli HotPage tarayıcı enjektörünün web içeriğini değiştirebildiğini ve sistemi başka güvenlik açıklarına açtığını keşfetti

Sahte reklam engelleyiciye dikkat
23.07.2024 14:36
4
A+
A-

Dijital güvenlik şirketi ESET, sofistike bir Çinli tarayıcı enjektörü keşfetti. Gizemli bir Çinli şirketin imzalı, savunmasız, reklam enjekte eden sürücüsü reklamları engelleyen bir güvenlik eseri üzere görünüyor lakin  daha da fazla reklam sunuyor.

 

ESET’in HotPage ismini verdiği bu tehdit, ana şoförünü yükleyen ve Chromium tabanlı tarayıcılara kütüphaneler enjekte eden yürütülebilir bir belgede kendi kendine geliyor. Reklamları engelleyebilen bir güvenlik eseri üzere görünerek aslında yeni reklamlar sunuyor. Ek olarak, makus emelli yazılım mevcut sayfanın içeriğini değiştirebiliyor, kullanıcıyı yönlendirebiliyor yahut öteki reklamlarla dolu bir web sitesine yeni bir sekme açabiliyor. 

Kötü hedefli yazılım daha fazla güvenlik açığı ortaya çıkarır ve sistemi daha da tehlikeli tehditlere açık hale getirir. Ayrıcalıklı olmayan bir hesaba sahip bir saldırgan, legal ve imzalı bir şoför kullanırken SYSTEM ayrıcalıklarını elde etmek yahut daha fazla hasara neden olmak için uzak süreçlere kütüphane enjekte etmek için savunmasız şoförden yararlanabilir.

 

2023 yılının sonunda ESET araştırmacıları, uzak süreçlere kod enjekte edebilen bir şoför ve tarayıcıların ağ trafiğini yakalayıp kurcalayabilen iki kütüphane dağıtan “HotPage.exe” isimli bir yükleyiciye rastladı. Yükleyici, birden fazla güvenlik eseri tarafından bir reklam yazılımı bileşeni olarak algılandı. ESET araştırmacıları için asıl dikkat cazip olan, Microsoft tarafından imzalanan gömülü şoför oldu. İmzasına nazaran, Hubei Dunwang Network Technology Co. Ltd. isimli Çinli bir şirket tarafından geliştirilmişti. Tehdidi keşfeden ESET araştırmacısı Romain Dumont, “Şirket hakkındaki bilgi eksikliği ilgi cazipti. Dağıtım sistemi hala bilinmeyen lakin araştırmamıza nazaran bu yazılım Çince konuşan bireylere yönelik bir internet kafe güvenlik tahlili olarak tanıtıldı. Reklamları ve makûs niyetli web sitelerini engelleyerek web tarama tecrübesini geliştirdiğini sav ediyor lakin gerçek epeyce farklı; oyunla ilgili reklamları görüntülemek için tarayıcı trafiğini durdurma ve filtreleme yeteneklerinden yararlanıyor. Ayrıyeten büyük olasılıkla yükleme istatistiklerini toplamak için bilgisayarla ilgili kimi bilgileri şirketin sunucusuna gönderiyor” diye açıklama yaptı. 

 

Mevcut bilgilere nazaran şirketin iş kapsamı geliştirme, hizmetler ve danışmanlık üzere teknolojiyle ilgili faaliyetlerin yanı sıra reklamcılık faaliyetlerini de içeriyor. Ana hissedar şu anda reklam ve pazarlama konusunda uzmanlaşmış görünen çok küçük bir şirket olan Wuhan Yishun Baishun Culture Media Co, Ltd. Sürücüyü yüklemek için gereken ayrıcalıkların düzeyi nedeniyle berbat maksatlı yazılım, başka yazılım paketleriyle birlikte paketlenmiş yahut bir güvenlik eseri olarak tanıtılmış olabilir. 

 

Windows’un bildirim geri aramalarını kullanan şoför bileşeni, açılan yeni tarayıcıları yahut sekmeleri izler. Makul şartlar altında reklam yazılımı, ağa müdahale eden kütüphanelerini yüklemek üzere tarayıcı süreçlerine kabuk kodu enjekte etmek için çeşitli teknikler kullanacaktır. Enjekte edilen kod, Microsoft’un Detours hooking kütüphanesini kullanarak HTTP(S) isteklerini ve cevaplarını filtreler. Makûs emelli yazılım mevcut sayfanın içeriğini değiştirebilir, kullanıcıyı yine yönlendirebilir yahut oyun reklamlarıyla dolu bir web sitesine yeni bir sekme açabilir. Bariz ziyanlı davranışının yanı sıra bu çekirdek bileşeni başka tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık düzeyinde kod çalıştırmasına açık kapı bırakır: SYSTEM hesabı. Bu çekirdek bileşenine yönelik uygunsuz erişim kısıtlamaları nedeniyle rastgele bir süreç bu bileşenle irtibat kurabilir ve muhafazalı olmayan süreçleri gaye almak için kod ekleme özelliğinden yararlanabilir.

 

“HotPage şoförü bize Genişletilmiş Doğrulama sertifikalarını berbata kullanmanın hala bir şey olduğunu hatırlatıyor. Pek çok güvenlik modeli bir noktada itimada dayandığından, tehdit aktörleri legal ve şaibeli ortasındaki çizgide oynamaya meyillidir. Bu çeşit yazılımlar ister bir güvenlik tahlili olarak tanıtılsın ister diğer bir yazılımla birlikte sunulsun, bu inanç sayesinde elde edilen yetenekler kullanıcıları güvenlik riskleriyle karşı karşıya bırakıyor.”

ESET, bu sürücüyü Mart 2024’te Microsoft’a bildirdi ve koordineli güvenlik açığı ifşa sürecini takip etti. ESET teknolojileri, Microsoft’un 1 Mayıs 2024’te Windows Server Kataloğu’ndan kaldırdığı bu tehdidi Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak algılar.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.

Wordpress Hosting ingilizce kurs plastic producer renault yedek parça renault parça radyal fan Galvaniz ankara çikişli günübirlik turlar kat arabası termokupl ikili tarama testi güneş enerjisi 60 amper akü su jeti modern mutfak tasarımı crop çemberler iç mimar utts Trafo e imza saat Wolkswagen yedek parça blok makinesi ingilizce kursu