Dijital güvenlik dünyasında önemli bir gelişme yaşandı. ESET, Çin merkezli sofistike bir kötü amaçlı yazılım olan HotPage'i ortaya çıkardı. Bu yazılım, kullanıcıları reklam engelleyici olarak kandırarak, aslında daha fazla reklam göstermekle kalmıyor, aynı zamanda kullanıcı sistemlerini tehlikeye atıyor.
HotPage Tehdidinin Kapsamı
HotPage, Chromium tabanlı tarayıcılara kütüphaneler enjekte eden bir sürücü içeriyor. Görünüşte reklamları engelleyen bir güvenlik ürünü olarak tanıtılan bu yazılım, gerçekte kullanıcıların web tarayıcılarında istenmeyen reklamları artırıyor ve mevcut sayfanın içeriğini değiştiriyor. Ayrıca, kullanıcıları zararlı web sitelerine yönlendirebiliyor ve tarayıcıda yeni reklamlarla dolu sekmeler açabiliyor.
Tehditin Derinlikleri
ESET’in detaylı incelemeleri, HotPage’in kötü amaçlı yazılım olarak tanımlanan bir yükleyici içerdiğini ortaya koydu. Bu yükleyici, Microsoft tarafından imzalanmış gömülü sürücüler barındırıyor ve Hubei Dunwang Network Technology Co. Ltd. adlı Çinli bir şirket tarafından geliştirilmiş. Ancak, bu şirket hakkında yeterli bilgiye sahip olunmaması, durumu daha da şüpheli hale getiriyor. HotPage, Çince konuşan bireyler için internet kafe güvenlik çözümü olarak tanıtıldı ve reklamları engelleyerek web tarama deneyimini geliştirdiği iddia edildi. Fakat gerçekte, kullanıcıların tarayıcı trafiğini durdurarak ve filtreleyerek oyun reklamları sunuyor ve bilgisayar bilgilerini topluyor.
HotPage’in Tehlikeli Özellikleri
HotPage’in en büyük tehlikelerinden biri, SYSTEM ayrıcalıklarına sahip olmasıdır. Bu, kötü amaçlı yazılımın diğer yazılımlarla paketlenmiş olabileceğini veya bir güvenlik ürünü olarak tanıtılmış olabileceğini düşündürüyor. Sürücü, Windows’un bildirim geri aramalarını kullanarak tarayıcı süreçlerine kabuk kodu enjekte ediyor ve HTTP(S) isteklerini ve yanıtlarını filtreliyor. Bu, kullanıcıların tarayıcılarında istenmeyen ve zararlı içeriklerin görünmesine yol açıyor.
Microsoft’tan Müdahale ve Güvenlik Önlemleri
ESET, HotPage tehdidini Mart 2024’te Microsoft’a bildirdi ve koordineli bir güvenlik açığı ifşa süreci başlattı. Microsoft, 1 Mayıs 2024 itibarıyla bu tehdidi Windows Server Kataloğu'ndan kaldırdı. ESET, HotPage’i Win{32|64}/HotPage.A ve Win{32|64}/HotPage.B olarak tanımlamaktadır.
ESET araştırmacısı Romain Dumont, HotPage’in Genişletilmiş Doğrulama sertifikalarını kötüye kullanarak güvenilirlik maskesi altında tehlikeli davranışlar sergilediğini belirtti. Dumont, "Bu tür yazılımlar, güvenlik modellerini test etme eğiliminde olan tehdit aktörleri tarafından geliştirilmiştir ve kullanıcıları ciddi güvenlik riskleriyle karşı karşıya bırakmaktadır" dedi.
Kullanıcılar İçin Uyarılar
Kullanıcıların bu tür tehditlere karşı dikkatli olmaları, güvenilir yazılım kaynaklarından indirme yapmaları ve güncel güvenlik çözümleri kullanmaları büyük önem taşımaktadır. HotPage gibi sahte güvenlik ürünleri, gerçek bir güvenlik tehdidi oluşturarak kullanıcıların dijital güvenliğini tehlikeye atabilir.
Bu tür tehditlere karşı en iyi savunma, bilinçli olmak ve her zaman resmi ve güvenilir kaynaklardan yazılım edinmektir.
Metin Karakuş