HotPage：一款伪装广告拦截器的恶意软件

关键要点

攻击者部署了名为 HotPage 的广告软件，能够隐秘地交付Microsoft签名的内核驱动。该内核驱动支持在目标Windows系统中执行任意代码，并可向远程服务器泄露系统数据。恶意软件开发者的策略不断演变，已采取了多种手段绕过Microsoft的安全要求。

根据The Hacker News的报道，攻击者已使用了广告拦截器伪装的 HotPage 广告软件。该软件可以默默地交付Microsoft签名的内核驱动，允许在特定的Windows系统上执行任意代码。

根据ESET的分析，除了向远程进程注入代码外，分发的内核驱动还可以将系统数据转移至与湖北敦旺网络科技有限公司相连的远程服务器。此外，报告指出，即使是没有特权账户的攻击者，也可以利用该驱动缺乏访问控制列表的漏洞，实现特权升级和NT AUTHORITYSystem账户的代码执行。这些发现表明，广告软件开发者运用的策略正在不断演变。ESET研究员Romain Dumont表示：“不仅如此，他们还开发了一个内核组件，并结合大量技术来操控进程，同时还满足了Microsoft关于其驱动组件的代码签名证书的要求。”

这些信息提示我们，知道各种恶意软件的演变及其运作方式对保护系统安全至关重要。

xfcc旋风加速官网特性描述恶意软件名称HotPage主要功能执行任意代码，系统数据泄露目标开发者湖北敦旺网络科技有限公司安全漏洞缺乏访问控制列表，允许特权升级

通过了解这个恶意软件的工作原理及其带来的安全威胁，我们可以更加有效地保护我们的系统安全。