Investigadores de ciberseguridad han descubierto un módulo adware que, bajo el nombre de HotPage, bloquea anuncios y sitios web maliciosos en Windows, al tiempo que instala un controlador de núcleo para permitir la ejecución de código arbitrario por parte de atacantes.
El malware esconde sus acciones por medio del instalador «HotPage.exe» y fue identificado por ESET a finales de 2023. Según el análisis técnico de ESET, el malware despliega un controlador que puede inyectar código en procesos remotos y dos bibliotecas que interceptan y manipulan el tráfico de navegadores. Además de mostrar anuncios relacionados con juegos, el malware extrae información del sistema y la envía a un servidor remoto vinculado a una empresa china llamada Hubei Dunwang Network Technology Co., Ltd.
El controlador del malware puede modificar el contenido de páginas web, redirigir al usuario a otras páginas o abrir nuevas pestañas en el navegador, además de cambiar la URL accedida. Una característica preocupante es que la falta de listas de control de acceso (ACL) significa que un atacante con una cuenta no privilegiada podría alcanzar privilegios elevados y ejecutar código como la cuenta NT AUTHORITY\System.
Aunque no se conoce el método exacto de distribución del instalador, ESET ha recopilado pruebas que indican que se ha promocionado como una solución de seguridad para cibercafés con el fin de mejorar la navegación de los usuarios al detener los anuncios no deseados.
El controlador incrustado en el malware está firmado por Microsoft y se cree que cumplió con los requisitos de firma de código de la empresa. Sin embargo, el certificado ha sido retirado del Catálogo de Servidores de Windows desde el 1 de mayo de 2024.
La presencia de firmas digitales en controladores de modo kernel es crucial para la seguridad en Windows. A pesar de esto, Cisco Talos ha revelado que actores de amenazas chinas han explotado una falla en las políticas de Microsoft para falsificar firmas en controladores de modo kernel.
Romain Dumont de ESET señaló que este malware demuestra que los desarrolladores de adware están dispuestos a esforzarse para lograr sus objetivos. Añadió que el componente de núcleo con un amplio conjunto de técnicas para manipular procesos cumple con los requisitos de firma de código de Microsoft.
Vía The Hacker News
