[22/07/2024] ESET Research ha descubierto un sofisticado inyector de navegador chino: un controlador de inyección de anuncios firmado, vulnerable y de una misteriosa empresa china. Según lo señalado en el comunicado de prensa, esta amenaza, que ESET denominó HotPage, viene contenida en un archivo ejecutable que instala su controlador principal e inyecta bibliotecas en navegadores basados en Chromium.
"Haciéndose pasar por un producto de seguridad capaz de bloquear anuncios, en realidad introduce nuevos anuncios. Además, el malware puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña a un sitio web lleno de otros anuncios. El malware introduce más vulnerabilidades y deja el sistema abierto a amenazas aún más peligrosas. Un atacante con una cuenta sin privilegios podría aprovechar el controlador vulnerable para obtener privilegios del sistema o inyectar bibliotecas en procesos remotos para causar más daños, todo mientras usa un controlador legítimo y firmado”, sostuvo el investigador de ESET Romain Dumont, quien descubrió la amenaza.
A finales de 2023, los investigadores de ESET se toparon con un instalador llamado "HotPage.exe" que despliega un controlador capaz de inyectar código en procesos remotos y dos bibliotecas capaces de interceptar y manipular el tráfico de red de los navegadores. La mayoría de los productos de seguridad detectaron el instalador como un componente de adware. Lo que realmente llamó la atención de los investigadores de ESET fue el controlador integrado firmado por Microsoft. Según su firma, fue desarrollado por una empresa china llamada Hubei Dunwang Network Technology Co., Ltd.
"La falta de información sobre la empresa era intrigante. El método de distribución aún no está claro, pero según nuestra investigación, este software se anunciaba como una solución de seguridad para cibercafés dirigida a personas de habla china. Pretende mejorar la experiencia de navegación web bloqueando anuncios y sitios web maliciosos, pero la realidad es bastante diferente: aprovecha las capacidades de interceptación y filtrado del tráfico de su navegador para mostrar anuncios relacionados con el juego. También envía cierta información sobre la computadora al servidor de la empresa, muy probablemente para recopilar estadísticas de instalación", explicó Dumont.
Según la información disponible, el investigador indicó que el ámbito de actividad de la empresa incluye actividades relacionadas con la tecnología, como el desarrollo, los servicios y la consultoría, pero también actividades publicitarias. "El principal accionista es actualmente Wuhan Yishun Baishun Culture Media Co., Ltd., una empresa muy pequeña que parece estar especializada en publicidad y marketing. Debido al nivel de privilegios necesarios para instalar el controlador, es posible que el malware se haya incluido con otros paquetes de software o se haya anunciado como un producto de seguridad”.
Con las devoluciones de llamada de notificación de Windows, Dumont sostuvo que el componente del controlador supervisa los nuevos exploradores o pestañas que se abren. "Bajo ciertas condiciones, el adware utilizará varias técnicas para inyectar shellcode en los procesos del navegador para cargar sus bibliotecas de manipulación de red. Usando la biblioteca de enganche Detours de Microsoft, el código inyectado filtra las solicitudes y respuestas HTTP(S). El malware puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña a un sitio web lleno de anuncios de juegos. Además de su obvio comportamiento malicioso, este componente del kernel deja la puerta abierta para que otras amenazas ejecuten código en el nivel de privilegio más alto disponible en el sistema operativo Windows: la cuenta SYSTEM. Debido a las restricciones de acceso inadecuadas a este componente del kernel, cualquier proceso puede comunicarse con él y aprovechar su capacidad de inyección de código para apuntar a cualquier proceso no protegido”.
ESET informó de este controlador a Microsoft en marzo del 2024 y siguió su proceso coordinado de divulgación de vulnerabilidades. Las tecnologías de ESET detectan esta amenaza, que Microsoft eliminó del catálogo de Windows Server el 1 de mayo del 2024, como Win{32|64}/HotPage.A y Win{32|64}/HotPage.B.
Franca Cavassa, CTOPerú