• BIST 100

    9949,01%0,33
  • DOLAR

    35,15% -0,18
  • EURO

    36,65% 0,14
  • GRAM ALTIN

    2979,53% 0,57
  • Ç. ALTIN

    4794,85% -0,07

Sahte reklam engelleyiciye dikkat

ESET Research, Çinli HotPage tarayıcı enjektörünün web içeriğini değiştirebildiğini ve sistemi diğer güvenlik açıklarına açtığını keşfetti

Teknoloji 23.07.2024 11:35:00
Sahte reklam engelleyiciye dikkat

 

 

Sahte reklam engelleyiciye dikkat 

 

Dijital güvenlik şirketi ESET, sofistike bir Çinli tarayıcı enjektörü keşfetti. Gizemli bir Çinli şirketin imzalı, savunmasız, reklam enjekte eden sürücüsü reklamları engelleyen bir güvenlik ürünü gibi görünüyor ama  daha da fazla reklam sunuyor.

 

ESET'in HotPage adını verdiği bu tehdit, ana sürücüsünü yükleyen ve Chromium tabanlı tarayıcılara kütüphaneler enjekte eden yürütülebilir bir dosyada kendi kendine geliyor. Reklamları engelleyebilen bir güvenlik ürünü gibi görünerek aslında yeni reklamlar sunuyor. Ek olarak, kötü amaçlı yazılım mevcut sayfanın içeriğini değiştirebiliyor, kullanıcıyı yönlendirebiliyor veya başka reklamlarla dolu bir web sitesine yeni bir sekme açabiliyor. 

Kötü amaçlı yazılım daha fazla güvenlik açığı ortaya çıkarır ve sistemi daha da tehlikeli tehditlere açık hale getirir. Ayrıcalıklı olmayan bir hesaba sahip bir saldırgan, meşru ve imzalı bir sürücü kullanırken SYSTEM ayrıcalıklarını elde etmek veya daha fazla hasara neden olmak için uzak süreçlere kütüphane enjekte etmek için savunmasız sürücüden yararlanabilir.

 

2023 yılının sonunda ESET araştırmacıları, uzak süreçlere kod enjekte edebilen bir sürücü ve tarayıcıların ağ trafiğini yakalayıp kurcalayabilen iki kütüphane dağıtan "HotPage.exe" adlı bir yükleyiciye rastladı. Yükleyici, çoğu güvenlik ürünü tarafından bir reklam yazılımı bileşeni olarak algılandı. ESET araştırmacıları için asıl dikkat çekici olan, Microsoft tarafından imzalanan gömülü sürücü oldu. İmzasına göre, Hubei Dunwang Network Technology Co. Ltd. adlı Çinli bir şirket tarafından geliştirilmişti. Tehdidi keşfeden ESET araştırmacısı Romain Dumont, "Şirket hakkındaki bilgi eksikliği ilgi çekiciydi. Dağıtım yöntemi hala belirsiz ancak araştırmamıza göre bu yazılım Çince konuşan bireylere yönelik bir internet kafe güvenlik çözümü olarak tanıtıldı. Reklamları ve kötü niyetli web sitelerini engelleyerek web tarama deneyimini geliştirdiğini iddia ediyor ancak gerçek oldukça farklı; oyunla ilgili reklamları görüntülemek için tarayıcı trafiğini durdurma ve filtreleme yeteneklerinden yararlanıyor. Ayrıca büyük olasılıkla yükleme istatistiklerini toplamak için bilgisayarla ilgili bazı bilgileri şirketin sunucusuna gönderiyor" diye açıklama yaptı. 

 

Mevcut bilgilere göre şirketin iş kapsamı geliştirme, hizmetler ve danışmanlık gibi teknolojiyle ilgili faaliyetlerin yanı sıra reklamcılık faaliyetlerini de içeriyor. Ana hissedar şu anda reklam ve pazarlama konusunda uzmanlaşmış görünen çok küçük bir şirket olan Wuhan Yishun Baishun Culture Media Co, Ltd. Sürücüyü yüklemek için gereken ayrıcalıkların seviyesi nedeniyle kötü amaçlı yazılım, diğer yazılım paketleriyle birlikte paketlenmiş veya bir güvenlik ürünü olarak tanıtılmış olabilir. 

 

Windows'un bildirim geri aramalarını kullanan sürücü bileşeni, açılan yeni tarayıcıları veya sekmeleri izler. Belirli koşullar altında reklam yazılımı, ağa müdahale eden kütüphanelerini yüklemek üzere tarayıcı süreçlerine kabuk kodu enjekte etmek için çeşitli teknikler kullanacaktır. Enjekte edilen kod, Microsoft'un Detours hooking kütüphanesini kullanarak HTTP(S) isteklerini ve yanıtlarını filtreler. Kötü amaçlı yazılım mevcut sayfanın içeriğini değiştirebilir, kullanıcıyı yeniden yönlendirebilir veya oyun reklamlarıyla dolu bir web sitesine yeni bir sekme açabilir. Bariz zararlı davranışının yanı sıra bu çekirdek bileşeni diğer tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık seviyesinde kod çalıştırmasına açık kapı bırakır: SYSTEM hesabı. Bu çekirdek bileşenine yönelik uygunsuz erişim kısıtlamaları nedeniyle herhangi bir işlem bu bileşenle iletişim kurabilir ve korumalı olmayan süreçleri hedef almak için kod ekleme özelliğinden yararlanabilir.

 

"HotPage sürücüsü bize Genişletilmiş Doğrulama sertifikalarını kötüye kullanmanın hala bir şey olduğunu hatırlatıyor. Pek çok güvenlik modeli bir noktada güvene dayandığından, tehdit aktörleri meşru ve şaibeli arasındaki çizgide oynamaya meyillidir. Bu tür yazılımlar ister bir güvenlik çözümü olarak tanıtılsın ister başka bir yazılımla birlikte sunulsun, bu güven sayesinde elde edilen yetenekler kullanıcıları güvenlik riskleriyle karşı karşıya bırakıyor."

ESET, bu sürücüyü Mart 2024'te Microsoft'a bildirdi ve koordineli güvenlik açığı ifşa sürecini takip etti. ESET teknolojileri, Microsoft'un 1 Mayıs 2024'te Windows Server Kataloğu'ndan kaldırdığı bu tehdidi Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak algılar.


Her 4 çocuktan 3’ü ekonominin durumundan kaygılı

Bulut Madenciliğine Başlamanın 4 Kritik Yolu

Akran zorbalığının 11 belirtisi

"Otokar ile Güçlü Yarınlar" Projesi Başladı

Yılbaşı tatilinde son dakika fırsatları

Masa başı çalışanlarda risk daha fazla!

Europcar Türkiy destekliyor | PAKA’dan Milli Takım’a 9 sporcu seçildi!

İBB kreşlerinin sayısı sıfırdan 111'e ulaştı

Kış turizminde son dakika rezervasyonları yüksek olacak

Azerbaycan yolcu uçağını Rusya mı vurdu

Yoksul vatandaşa verilen bir kap yemeği zehir ettiler

Sosyal Güvenlik Uzmanı Erhan Nacar’dan Yılsonu Müjdeleri

Kanal İstanbul'a mahkemeden iptal kararı çıktı!

İBB beslenme paketinden zehirlenme iddiası!

Tarihi Sirkeci Garı yanındaki kaçak kafe yıkıldı

Azerbaycan yolcu uçağı düştü, çok sayıda can kaybı var

9 yaşındaki çocuğa direksiyon verdiler, facia yaşandı

Gülsin Onay Piyano Festivali'ne rekor başvuru

2025 asgari ücret açıklandı | 22 bin 104 TL oldu

Suriye resmen 2 gün Noel tatili ilan etti

Müzeden çalınan heykel düğün hediyesi olmuş!

Türk Milli Eğitimi arap eğitimine evrildi

İsviçre'nin sigorta devini Türkiye'de dolandırmışlar

Eski eşine evinin önünde pusu kurdu, 13 yerinden bıçakladı

Gümrük çalışanlarına rüşvet operasyonu

Trump, Panama Kanalı'nı geri istiyor

Muğla'da sis faciası | Helikopter hastaneye çarptı, 4 can kaybı var

SMA hastası bebek için toplanan paralarla alemde coşmuş

Özlem Gürses'e ev hapsi | Programını evinden yapacak

Suriyeli'lerin dönüşü | Kaç kişi ülkesine döndü

Yükleniyor

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 16 14 0 2 28 44
2.Fenerbahçe 16 11 2 3 25 36
3.Samsunspor 16 9 4 3 12 30
4.Göztepe 16 8 4 4 10 28
5.Eyüpspor 17 7 4 6 7 27
6.Beşiktaş 16 7 4 5 7 26
7.İstanbul Başakşehir 16 6 5 5 4 23
8.Gazişehir Gaziantep 16 6 7 3 -2 21
9.Antalyaspor 16 6 7 3 -8 21
10.Kasımpaşa 16 4 4 8 -1 20
11.Konyaspor 16 5 6 5 -5 20
12.Rizespor 16 6 8 2 -9 20
13.Trabzonspor 16 4 5 7 2 19
14.Sivasspor 17 5 8 4 -7 19
15.Alanyaspor 16 4 6 6 -3 18
16.Kayserispor 16 3 7 6 -16 15
17.Bodrum FK 16 4 10 2 -10 14
18.Hatayspor 16 1 9 6 -13 9
19.Adana Demirspor 16 2 12 2 -21 5

YAZARLAR