{"id":1243942,"date":"2024-07-18T13:13:58","date_gmt":"2024-07-18T15:13:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-le-logiciel-publicitaire-hotpage-deguise-en-bloqueur-de-publicites-installe-un-pilote-de-noyau-malveillant\/"},"modified":"2024-07-18T13:14:03","modified_gmt":"2024-07-18T15:14:03","slug":"alerte-le-logiciel-publicitaire-hotpage-deguise-en-bloqueur-de-publicites-installe-un-pilote-de-noyau-malveillant","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-le-logiciel-publicitaire-hotpage-deguise-en-bloqueur-de-publicites-installe-un-pilote-de-noyau-malveillant\/","title":{"rendered":"Alerte : le logiciel publicitaire HotPage d\u00e9guis\u00e9 en bloqueur de publicit\u00e9s installe un pilote de noyau malveillant"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Alerte-le-logiciel-publicitaire-HotPage-deguise-en-bloqueur-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re un module publicitaire qui pr\u00e9tend bloquer les publicit\u00e9s et les sites Web malveillants, tout en d\u00e9chargeant furtivement un composant de pilote de noyau qui donne aux attaquants la possibilit\u00e9 d&#8217;ex\u00e9cuter du code arbitraire avec des autorisations \u00e9lev\u00e9es sur les h\u00f4tes Windows.<\/p>\n<p>Le malware, baptis\u00e9 HotPage, tire son nom du programme d&#8217;installation \u00e9ponyme (\u00ab HotPage.exe \u00bb), selon de nouvelles d\u00e9couvertes d&#8217;ESET.<\/p>\n<p>Le programme d&#8217;installation \u00abd\u00e9ploie un pilote capable d&#8217;injecter du code dans des processus distants et deux biblioth\u00e8ques capables d&#8217;intercepter et de falsifier le trafic r\u00e9seau des navigateurs\u00bb, explique Romain Dumont, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/hotpage-story-signed-vulnerable-ad-injecting-driver\/\" target=\"_blank\">dit<\/a> dans une analyse technique publi\u00e9e aujourd&#8217;hui.<\/p>\n<p>\u00ab Le logiciel malveillant peut modifier ou remplacer le contenu d&#8217;une page demand\u00e9e, rediriger l&#8217;utilisateur vers une autre page ou ouvrir une nouvelle page dans un nouvel onglet en fonction de certaines conditions. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>En plus d&#8217;exploiter ses capacit\u00e9s d&#8217;interception du trafic et de filtrage du navigateur pour afficher des publicit\u00e9s li\u00e9es au jeu, il est con\u00e7u pour collecter et exfiltrer les informations syst\u00e8me vers un serveur distant associ\u00e9 \u00e0 une soci\u00e9t\u00e9 chinoise nomm\u00e9e Hubei Dunwang Network Technology Co., Ltd (\u6e56\u5317\u76fe\u7f51\u7f51\u7edc\u79d1\u6280\u6709\u9650\u516c\u53f8).<\/p>\n<p>Cela est r\u00e9alis\u00e9 au moyen d&#8217;un pilote, dont l&#8217;objectif principal est d&#8217;injecter les biblioth\u00e8ques dans les applications de navigateur et de modifier leur flux d&#8217;ex\u00e9cution pour changer l&#8217;URL \u00e0 laquelle on acc\u00e8de ou garantir que la page d&#8217;accueil de la nouvelle instance de navigateur Web est redirig\u00e9e vers une URL particuli\u00e8re sp\u00e9cifi\u00e9e dans une configuration.<\/p>\n<p>Ce n&#8217;est pas tout. L&#8217;absence de listes de contr\u00f4le d&#8217;acc\u00e8s (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/MicrosoftDocs\/windows-driver-docs\/blob\/staging\/windows-driver-docs-pr\/driversecurity\/windows-security-model.md\" target=\"_blank\">ACL<\/a>) pour le pilote signifiait qu&#8217;un attaquant avec un compte non privil\u00e9gi\u00e9 pouvait l&#8217;exploiter pour obtenir des privil\u00e8ges \u00e9lev\u00e9s et ex\u00e9cuter du code en tant que compte NT AUTHORITYSystem.<\/p>\n<p>\u00ab Ce composant du noyau laisse involontairement la porte ouverte \u00e0 d&#8217;autres menaces pour ex\u00e9cuter du code au niveau de privil\u00e8ge le plus \u00e9lev\u00e9 disponible dans le syst\u00e8me d&#8217;exploitation Windows : le compte syst\u00e8me \u00bb, a d\u00e9clar\u00e9 Dumont. \u00ab En raison de restrictions d&#8217;acc\u00e8s inappropri\u00e9es \u00e0 ce composant du noyau, n&#8217;importe quel processus peut communiquer avec lui et exploiter sa capacit\u00e9 d&#8217;injection de code pour cibler n&#8217;importe quel processus non prot\u00e9g\u00e9. \u00bb<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721315638_393_Alerte-le-logiciel-publicitaire-HotPage-deguise-en-bloqueur-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721315638_393_Alerte-le-logiciel-publicitaire-HotPage-deguise-en-bloqueur-de.png\" alt=\"Logiciel publicitaire HotPage\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Logiciel publicitaire HotPage\"\/><\/a><\/div>\n<p>Bien que la m\u00e9thode exacte par laquelle le programme d&#8217;installation est distribu\u00e9 ne soit pas connue, les preuves recueillies par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 slovaque montrent qu&#8217;il a \u00e9t\u00e9 pr\u00e9sent\u00e9 comme une solution de s\u00e9curit\u00e9 pour les cybercaf\u00e9s destin\u00e9e \u00e0 am\u00e9liorer l&#8217;exp\u00e9rience de navigation des utilisateurs en arr\u00eatant les publicit\u00e9s.<\/p>\n<p>Le pilote int\u00e9gr\u00e9 est remarquable par le fait qu&#8217;il est sign\u00e9 par Microsoft. On pense que la soci\u00e9t\u00e9 chinoise a utilis\u00e9 le logiciel de Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/dashboard\/code-signing-reqs\" target=\"_blank\">exigences relatives \u00e0 la signature du code du conducteur<\/a> et a r\u00e9ussi \u00e0 obtenir un certificat de v\u00e9rification \u00e9tendue (EV). Il a \u00e9t\u00e9 supprim\u00e9 de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.windowsservercatalog.com\/\" target=\"_blank\">Catalogue Windows Server<\/a> \u00e0 compter du 1er mai 2024.<\/p>\n<p>Les pilotes en mode noyau doivent \u00eatre sign\u00e9s num\u00e9riquement pour \u00eatre charg\u00e9s par le syst\u00e8me d&#8217;exploitation Windows, une couche de d\u00e9fense importante \u00e9rig\u00e9e par Microsoft pour se prot\u00e9ger contre les pilotes malveillants qui pourraient \u00eatre utilis\u00e9s pour subvertir les contr\u00f4les de s\u00e9curit\u00e9 et interf\u00e9rer avec les processus syst\u00e8me.<\/p>\n<p>Cela dit, Cisco Talos a r\u00e9v\u00e9l\u00e9 en juillet dernier comment des acteurs malveillants de langue maternelle chinoise exploitent une faille dans la politique de Microsoft Windows pour falsifier des signatures sur les pilotes en mode noyau.<\/p>\n<p>\u00ab L&#8217;analyse de ce malware d&#8217;apparence plut\u00f4t g\u00e9n\u00e9rique a prouv\u00e9, une fois de plus, que les d\u00e9veloppeurs de logiciels publicitaires sont toujours pr\u00eats \u00e0 faire un effort suppl\u00e9mentaire pour atteindre leurs objectifs \u00bb, a d\u00e9clar\u00e9 Dumont.<\/p>\n<p>\u00ab Non seulement ils ont d\u00e9velopp\u00e9 un composant de noyau avec un large ensemble de techniques pour manipuler les processus, mais ils ont \u00e9galement satisfait aux exigences impos\u00e9es par Microsoft pour obtenir un certificat de signature de code pour leur composant pilote. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/alert-hotpage-adware-disguised-as-ad.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 juillet 2024\ue804R\u00e9dactionLogiciels malveillants \/ S\u00e9curit\u00e9 Windows Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re un module publicitaire qui pr\u00e9tend bloquer les publicit\u00e9s et les sites Web malveillants, tout en d\u00e9chargeant furtivement un composant de pilote de noyau qui donne aux attaquants la possibilit\u00e9 d&#8217;ex\u00e9cuter du code arbitraire avec des autorisations \u00e9lev\u00e9es sur les h\u00f4tes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1243943,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,4747,27616,4168,4165,8989,242420,28046,238584,6816,200271,7733,238334,98340,6778,2017,23938,2884,238617,4172,4169,4166,238583],"class_list":["post-1243942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-alerte","tag-bloqueur","tag-comment-pirater","tag-cyber-attaques","tag-deguise","tag-hotpage","tag-installe","tag-les-nouvelles-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-noyau","tag-pilote","tag-publicitaire","tag-publicites","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1243942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1243942"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1243942\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1243943"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1243942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1243942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1243942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}