又一全新恶意软件曝光,曾滥用微软驱动程序签名系统
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
研究人员发现了一种名为HotPage.exe的新型恶意软件,伪装成安装程序,实际上是注入代码并拦截浏览器流量。该软件向中文用户推销“网吧安全解决方案”,但重定向到游戏广告并收集用户数据。ESET报告了该漏洞并微软删除了违规驱动程序。安全研究人员建议定期更新软件、使用全面的安全解决方案并保持严格的访问控制。
🎯
关键要点
- 研究人员发现名为HotPage.exe的新型恶意软件,伪装成安装程序。
- 该恶意软件注入代码并拦截浏览器流量,修改和重定向网页内容。
- HotPage.exe向中文用户推销“网吧安全解决方案”,但重定向到游戏广告并收集用户数据。
- ESET于2024年3月向微软报告该漏洞,微软于2024年5月删除违规驱动程序。
- 该恶意软件利用微软的驱动程序代码签名要求获得扩展验证证书,显示信任签名系统被滥用。
- 恶意软件的安装过程包括投放驱动程序、解密配置文件并注入库到基于Chromium的浏览器。
- 该恶意软件的内核组件允许其他威胁在Windows操作系统的最高权限级别执行代码。
- 安全研究人员建议定期更新软件、使用全面的安全解决方案并保持严格的访问控制。
➡️
