• BIST 100

    10717,27%1,29
  • DOLAR

    36,61% 0,06
  • EURO

    39,81% -0,10
  • GRAM ALTIN

    3476,89% 0,74
  • Ç. ALTIN

    5600,10% 0,76

Sahte reklam engelleyiciye dikkat

ESET Research, Çinli HotPage tarayıcı enjektörünün web içeriğini değiştirebildiğini ve sistemi diğer güvenlik açıklarına açtığını keşfetti

Teknoloji 23.07.2024 11:36:46
Sahte reklam engelleyiciye dikkat

 

 

Sahte reklam engelleyiciye dikkat 

 

Dijital güvenlik şirketi ESET, sofistike bir Çinli tarayıcı enjektörü keşfetti. Gizemli bir Çinli şirketin imzalı, savunmasız, reklam enjekte eden sürücüsü reklamları engelleyen bir güvenlik ürünü gibi görünüyor ama  daha da fazla reklam sunuyor.

 

ESET'in HotPage adını verdiği bu tehdit, ana sürücüsünü yükleyen ve Chromium tabanlı tarayıcılara kütüphaneler enjekte eden yürütülebilir bir dosyada kendi kendine geliyor. Reklamları engelleyebilen bir güvenlik ürünü gibi görünerek aslında yeni reklamlar sunuyor. Ek olarak, kötü amaçlı yazılım mevcut sayfanın içeriğini değiştirebiliyor, kullanıcıyı yönlendirebiliyor veya başka reklamlarla dolu bir web sitesine yeni bir sekme açabiliyor. 

Kötü amaçlı yazılım daha fazla güvenlik açığı ortaya çıkarır ve sistemi daha da tehlikeli tehditlere açık hale getirir. Ayrıcalıklı olmayan bir hesaba sahip bir saldırgan, meşru ve imzalı bir sürücü kullanırken SYSTEM ayrıcalıklarını elde etmek veya daha fazla hasara neden olmak için uzak süreçlere kütüphane enjekte etmek için savunmasız sürücüden yararlanabilir.

 

2023 yılının sonunda ESET araştırmacıları, uzak süreçlere kod enjekte edebilen bir sürücü ve tarayıcıların ağ trafiğini yakalayıp kurcalayabilen iki kütüphane dağıtan "HotPage.exe" adlı bir yükleyiciye rastladı. Yükleyici, çoğu güvenlik ürünü tarafından bir reklam yazılımı bileşeni olarak algılandı. ESET araştırmacıları için asıl dikkat çekici olan, Microsoft tarafından imzalanan gömülü sürücü oldu. İmzasına göre, Hubei Dunwang Network Technology Co. Ltd. adlı Çinli bir şirket tarafından geliştirilmişti. Tehdidi keşfeden ESET araştırmacısı Romain Dumont, "Şirket hakkındaki bilgi eksikliği ilgi çekiciydi. Dağıtım yöntemi hala belirsiz ancak araştırmamıza göre bu yazılım Çince konuşan bireylere yönelik bir internet kafe güvenlik çözümü olarak tanıtıldı. Reklamları ve kötü niyetli web sitelerini engelleyerek web tarama deneyimini geliştirdiğini iddia ediyor ancak gerçek oldukça farklı; oyunla ilgili reklamları görüntülemek için tarayıcı trafiğini durdurma ve filtreleme yeteneklerinden yararlanıyor. Ayrıca büyük olasılıkla yükleme istatistiklerini toplamak için bilgisayarla ilgili bazı bilgileri şirketin sunucusuna gönderiyor" diye açıklama yaptı. 

 

Mevcut bilgilere göre şirketin iş kapsamı geliştirme, hizmetler ve danışmanlık gibi teknolojiyle ilgili faaliyetlerin yanı sıra reklamcılık faaliyetlerini de içeriyor. Ana hissedar şu anda reklam ve pazarlama konusunda uzmanlaşmış görünen çok küçük bir şirket olan Wuhan Yishun Baishun Culture Media Co, Ltd. Sürücüyü yüklemek için gereken ayrıcalıkların seviyesi nedeniyle kötü amaçlı yazılım, diğer yazılım paketleriyle birlikte paketlenmiş veya bir güvenlik ürünü olarak tanıtılmış olabilir. 

 

Windows'un bildirim geri aramalarını kullanan sürücü bileşeni, açılan yeni tarayıcıları veya sekmeleri izler. Belirli koşullar altında reklam yazılımı, ağa müdahale eden kütüphanelerini yüklemek üzere tarayıcı süreçlerine kabuk kodu enjekte etmek için çeşitli teknikler kullanacaktır. Enjekte edilen kod, Microsoft'un Detours hooking kütüphanesini kullanarak HTTP(S) isteklerini ve yanıtlarını filtreler. Kötü amaçlı yazılım mevcut sayfanın içeriğini değiştirebilir, kullanıcıyı yeniden yönlendirebilir veya oyun reklamlarıyla dolu bir web sitesine yeni bir sekme açabilir. Bariz zararlı davranışının yanı sıra bu çekirdek bileşeni diğer tehditlerin Windows işletim sisteminde mevcut olan en yüksek ayrıcalık seviyesinde kod çalıştırmasına açık kapı bırakır: SYSTEM hesabı. Bu çekirdek bileşenine yönelik uygunsuz erişim kısıtlamaları nedeniyle herhangi bir işlem bu bileşenle iletişim kurabilir ve korumalı olmayan süreçleri hedef almak için kod ekleme özelliğinden yararlanabilir.

 

"HotPage sürücüsü bize Genişletilmiş Doğrulama sertifikalarını kötüye kullanmanın hala bir şey olduğunu hatırlatıyor. Pek çok güvenlik modeli bir noktada güvene dayandığından, tehdit aktörleri meşru ve şaibeli arasındaki çizgide oynamaya meyillidir. Bu tür yazılımlar ister bir güvenlik çözümü olarak tanıtılsın ister başka bir yazılımla birlikte sunulsun, bu güven sayesinde elde edilen yetenekler kullanıcıları güvenlik riskleriyle karşı karşıya bırakıyor."

ESET, bu sürücüyü Mart 2024'te Microsoft'a bildirdi ve koordineli güvenlik açığı ifşa sürecini takip etti. ESET teknolojileri, Microsoft'un 1 Mayıs 2024'te Windows Server Kataloğu'ndan kaldırdığı bu tehdidi Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak algılar.

Sağlıklı iftar sofrası için 10 öneri

Çocuklarımızı gerçekten organik besliyor muyuz?

Görmenin sessiz hırsızı glokom

Ramazan boyunca diş sağlığına dikkat

Suriye'de Kürt devleti hayal oldu | SDG, Şam'a katıldı

Ödül Törenleri Mercek Altında

Zabıta ekiplerinden fırınlara Ramazan pidesi denetimi

Ramazan boyunca sağlıklı beslenmenin önemi

EİB, Kadınların Gücüne Güç Katıyor

Kişisel Verilerimizi Korumak Geleceğimizi Korumaktır

Gebelikte görülen kansızlığın belirtileri

Kadınlarda tükenmişlik, erkeklerde duyarsızlık

Geri dönüştürülmüş lastikler yeşil ekonomiyi büyütüyor

TAV’ın dört havalimanına hizmet kalitesi ödülü

İstanbul'da Şubat ayında portakal ve domates zirvede

Göz damlası oruç bozmaz

Anadolu ve Balıkesir Çepni Birliği kuruldu!

Sırt Ağrısı Omurga Tümörü Habercisi Olabilir

Şehirleşmeyle artan gürültü, işitme cihazını yaygınlaştırıyor

Aksuvital ve PRP İlaç güç birliğine gidiyor

Türk Telekom ve Ericsson 6G için stratejik iş birliğine başlıyor

Tüm bağımlılıkların temelinde dopamin yatıyor!

21 Bankanın İçi Boşaltılınca Türkiye TMSF’yle tanıştı

OGM EkoFotoSafari başladı

Hyundai Motor Türkiye Elektrikli Araç Üretecek

Hamile diyabetlilerin oruç tutması riskli

Uyuşturucu iddiası | Polat çifti avukatından açıklama

İsmail Türüt | Onlar gibi şarkı yapsam köprüden atlar intihar ederim

Sahurda tüketilen bir kaşık tahin mideyi koruyor…

Manevi pratikler depresyon riskini azaltabiliyor!

Yükleniyor

Uyuşturucu iddiası | Polat çifti avukatından açıklama

İsmail Türüt | Onlar gibi şarkı yapsam köprüden atlar intihar ederim

Üsküdar'da Sevgi Pazarı kuruluyor

Göknur Sevgililer Günü için söyleyecek

Beste Acar'ın telefonundan çıkan böceğin sırrı!

Mahmut Tuncer'in Kayınvalidesi Yüksel Özsoy hayatını kaybetti

Kız Kardeşim Projesi Yeni Yıldızlarını Arıyor

Seydi Taş | Eğlence modeli değişmeli

Türk modacı Recep Demiray, Londra Fashion Week'te

Mahmut Tuncer | Sesimi kesmek için güvercin pisliği yedirdiler

Sağlıklı iftar sofrası için 10 öneri

Çocuklarımızı gerçekten organik besliyor muyuz?

Görmenin sessiz hırsızı glokom

Ramazan boyunca diş sağlığına dikkat

Ramazan boyunca sağlıklı beslenmenin önemi

Gebelikte görülen kansızlığın belirtileri

Kadınlarda tükenmişlik, erkeklerde duyarsızlık

Göz damlası oruç bozmaz

Sırt Ağrısı Omurga Tümörü Habercisi Olabilir

Şehirleşmeyle artan gürültü, işitme cihazını yaygınlaştırıyor

Kişisel Verilerimizi Korumak Geleceğimizi Korumaktır

TEKNOFEST 2025’te Yepyeni Bir Yarışma

İşten çıkarılmadınız, dolandırıldınız!

Geleceğin Sağlık Çözümleri TEKNOFEST Gençleri Tarafından Şekillenecek!

TECH İstanbul dijital dönüşümün zirvesinde

TEKNOFEST Robolig Yarışmasına Başvuru İçin Son 8 Gün!

Sarsılmaz, Enforce Tac ve IWA’da fark yaratıyor

Sahte iş teklifleriyle tuzak kuruyorlar

Excalibur Gaming Bilgisayarlarda Maksimum Soğutma

Akıllı duman dedektörleriyle erken uyarı, hızlı müdahale

Ödül Törenleri Mercek Altında

EİB, Kadınların Gücüne Güç Katıyor

Geri dönüştürülmüş lastikler yeşil ekonomiyi büyütüyor

TAV’ın dört havalimanına hizmet kalitesi ödülü

Aksuvital ve PRP İlaç güç birliğine gidiyor

Türk Telekom ve Ericsson 6G için stratejik iş birliğine başlıyor

21 Bankanın İçi Boşaltılınca Türkiye TMSF’yle tanıştı

Hyundai Motor Türkiye Elektrikli Araç Üretecek

Oruç tutmak isteyen şeker hastalarına 4 önemli kural

JYSK Türkiye’deki Yatırımlarını Arttırıyor

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 26 21 0 5 37 68
2.Fenerbahçe 25 19 2 4 40 61
3.Samsunspor 26 15 6 5 14 50
4.Beşiktaş 25 12 5 8 14 44
5.Eyüpspor 26 12 7 7 11 43
6.Göztepe 25 10 9 6 10 36
7.İstanbul Başakşehir 25 10 9 6 7 36
8.Gazişehir Gaziantep 25 10 10 5 0 35
9.Rizespor 26 10 13 3 -10 33
10.Antalyaspor 26 9 11 6 -17 33
11.Trabzonspor 25 8 9 8 9 32
12.Kasımpaşa 26 7 8 11 -6 32
13.Alanyaspor 26 8 11 7 -8 31
14.Konyaspor 26 7 12 7 -8 28
15.Sivasspor 26 7 13 6 -11 27
16.Bodrum FK 26 7 13 6 -11 27
17.Kayserispor 25 6 10 9 -18 27
18.Hatayspor 25 3 15 7 -18 16
19.Adana Demirspor 26 2 20 4 -35