- Malware HotPage.exe menggunakan driver Microsoft untuk menghijack browser.
- Driver Microsoft yang ditandatangani digunakan oleh malware untuk mengumpulkan data pengguna.
- Microsoft telah menghapus driver yang bermasalah dari katalog Windows Server setelah ada laporan.
pibitek.biz -Para peneliti telah menemukan malware baru bernama HotPage.exe. Malware ini pertama kali terdeteksi pada akhir tahun 2023 dan menyamar sebagai installer yang dapat meningkatkan pengalaman browsing dengan memblokir iklan dan situs web berbahaya. Namun, malware ini sebenarnya menginjeksi kode ke dalam proses jarak jauh dan mengintercept lalu lintas browser. Malware ini dapat memodifikasi, menggantikan, atau mengalihkan konten web dan membuka tab baru berdasarkan kondisi tertentu. Yang menarik, driver yang tertanam dalam HotPage.exe telah ditandatangani oleh Microsoft, tetapi dikaitkan dengan perusahaan China bernama Hubei Dunwang Network Technology Co., Ltd.
2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 2 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
3 – Google Kerjasama dengan Reaktor Nuklir untuk AI 3 – Google Kerjasama dengan Reaktor Nuklir untuk AI
Perusahaan ini memiliki latar belakang yang tidak jelas dan domainnya, dwadsafe.com, saat ini offline. Malware ini dipasarkan sebagai "solusi keamanan internet café" untuk pengguna berbahasa Tionghoa dan diklaim dapat meningkatkan pengalaman browsing. Namun, malware ini sebenarnya mengalihkan pengguna ke iklan game dan mengumpulkan data tentang komputer pengguna untuk tujuan statistik. ESET telah melaporkan kerentanan ini kepada Microsoft pada 18 Maret 2024 dan Microsoft telah menghapus driver yang bermasalah dari katalog Windows Server pada 1 Mei 2024.
ESET telah menamai ancaman ini sebagai Win{32|64}/HotPage.A dan Win{32|64}/HotPage. Investigasi lebih lanjut mengumumkan bahwa Hubei Dunwang Network Technology Co., Ltd. Telah menyalahgunakan persyaratan tanda tangan driver Microsoft untuk mendapatkan sertifikat Verifikasi Extended (EV). Ini menyoroti penyalahgunaan sistem kepercayaan untuk tanda tangan driver. Dari sudut pandang teknis, proses instalasi malware ini melibatkan penurunan driver ke disk, dekripsi file konfigurasi, dan injeksi library ke browser berbasis Chromium.
Driver ini memanipulasi lalu lintas browser dengan mengaitkan fungsi API Windows berbasis jaringan dan mengubah URL atau membuka tab baru dengan konten iklan. Masalah kritis dengan malware ini adalah komponen kernelnya, yang tidak sengaja memungkinkan ancaman lain untuk menjalankan kode dengan hak akses tertinggi di sistem operasi Windows. Ini karena kurangnya pembatasan akses, sehingga proses apa pun dapat berkomunikasi dengan komponen kernel dan menyalahgunakan kemampuan injeksi kode. Untuk melawan ancaman seperti ini, peneliti keamanan menyarankan untuk memperbarui software secara teratur, menggunakan solusi keamanan komprehensif, dan mempertahankan kontrol akses yang ketat.
Malware HotPage.exe adalah contoh lain dari bagaimana malware dapat menggunakan driver yang ditandatangani untuk menghijack browser dan mengumpulkan data pengguna. Penting bagi kita untuk tetap waspada dan memperbarui software kita secara teratur untuk melawan ancaman seperti ini. Dengan menggunakan solusi keamanan yang komprehensif dan mempertahankan kontrol akses yang ketat, kita dapat mengurangi risiko terkena malware seperti HotPage.exe.
