HotPage, una amenaza capaz de reemplazar contenido web y abrir el sistema a otras vulnerabilidades

24/07/2024

El grupo de investigación ESET Research ha descubierto un sofisticado malware chino dirigido a navegadores: un controlador firmado y vulnerable que inyecta anuncios, proveniente de una misteriosa empresa china. Esta amenaza, que ESET ha denominado HotPage, viene en un archivo ejecutable que instala su controlador principal e inyecta librerías maliciosas en navegadores basados en Chromium. Haciéndose pasar por un producto de seguridad capaz de bloquear la publicidad, HotPage en realidad introduce nuevos anuncios. Además, el malware puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña con un sitio web lleno de otros anuncios.

Los productos certificados de la empresa china que figuran en el catálogo de Windows Server.

El sofisticado inyector de navegador chino introduce más vulnerabilidades y deja el sistema abierto a amenazas aún más peligrosas. Un atacante con una cuenta sin privilegios podría aprovechar el controlador vulnerable para obtener privilegios de sistema o inyectar librerías en procesos remotos para causar más daños, todo mientras utiliza un controlador legítimo y firmado.

A finales de 2023, los investigadores de ESET se toparon con un instalador llamado 'HotPage.exe', que despliega un controlador capaz de inyectar código en procesos remotos y dos librerías capaces de interceptar y manipular el tráfico de red de los navegadores. La mayoría de los productos de seguridad detectaron el instalador como un componente de adware. Lo que realmente llamó la atención de los investigadores de ESET fue el controlador incrustado, firmado por Microsoft. Según su firma, fue desarrollado por una empresa china llamada Hubei Dunwang Network Technology Co., Ltd.

Según la información disponible, el ámbito de negocio de la empresa incluye actividades relacionadas con la tecnología, como desarrollo, servicios y consultoría, pero también actividades publicitarias. El principal accionista actualmente es Wuhan Yishun Baishun Culture Media Co., Ltd., una empresa muy pequeña que parece estar especializada en publicidad y marketing. Debido al nivel de privilegios necesarios para instalar el controlador, es posible que el malware haya sido incluido con otros paquetes de software o se haya publicitado como un producto de seguridad.

ESET informó de este inyector de navegador a Microsoft en marzo de 2024 y siguió su proceso coordinado de divulgación de vulnerabilidades. Las tecnologías de ESET detectan esta amenaza —que Microsoft eliminó del Catálogo de Windows Server el 1 de mayo de 2024— como 'Win{32|64}/HotPage.A y Win{32|64}/HotPage.B'.