Недавно кибербезопасные исследователи ESET обнаружили новый модуль рекламного ПО под названием HotPage, который выдает себя за блокировщик рекламы. Однако, вместо блокировки рекламы, этот модуль открывает доступ к устройству, на котором он установлен, для кражи чувствительных данных и выполнения вредоносного кода с повышенными правами.
HotPage был замечен в конце 2023 года. При установке модуль разворачивает драйвер, способный внедрять код в удаленные процессы, и две библиотеки, способные перехватывать и изменять сетевой трафик браузеров. В результате этого модуль может модифицировать содержимое страницы, на которую пытается зайти жертва, перенаправлять ее на другую страницу или открывать новую вкладку.
Основная цель HotPage — отображение рекламы, связанной с играми. Однако, он также может собирать информацию о системе и отправлять ее на удаленный сервер, зарегистрированный на компанию Hubei Dunwang Network Technology Co., Ltd. Модуль также позволяет обладателям аккаунтов с низкими привилегиями повышать свои права и выполнять код от имени учетной записи NT AUTHORITY\System.
Исследователи ESET заключили, что HotPage, хоть и выглядит обыденно, на самом деле достаточно сложен.
Источник: TechRadar
