El equipo de investigación de ESET ha identificado una nueva y sofisticada amenaza cibernética denominada 'HotPage', proveniente de una misteriosa empresa china que se presenta como un controlador firmado y vulnerable que inyecta anuncios y abre el sistema a otras vulnerabilidades, afectando principalmente a los navegadores basados en Chromium.
HotPage es un malware que se hace pasar por un producto de seguridad capaz de bloquear anuncios. Sin embargo, en lugar de bloquear la publicidad, introduce aún más anuncios en las páginas web que visita el usuario. Este software malicioso puede reemplazar el contenido de la página actual, redirigir al usuario a otros sitios o abrir nuevas pestañas llenas de publicidad, principalmente de juegos.
Este instalador despliega un controlador principal y dos librerías que interceptan y manipulan el tráfico de red de los navegadores
A finales de 2023, los investigadores de ESET detectaron un instalador denominado 'HotPage.exe'. Este instalador despliega un controlador principal y dos librerías que interceptan y manipulan el tráfico de red de los navegadores. Lo que llamó la atención de los investigadores fue el controlador incrustado, firmado por Microsoft y desarrollado por Hubei Dunwang Network Technology Co., Ltd., una empresa china de la que se tiene poca información.
"La falta de información sobre la empresa era intrigante. Este software se hacía pasar por una solución de seguridad para cibercafés dirigida a personas de habla china, afirmando mejorar la experiencia de navegación al bloquear anuncios y sitios web maliciosos, pero la realidad es que utiliza sus capacidades para mostrar más anuncios y recopilar información del ordenador", explica Romain Dumont, investigador de ESET.
El verdadero peligro de HotPage radica en su capacidad para dejar el sistema operativo Windows vulnerable a otras amenazas. Un atacante podría aprovechar el controlador vulnerable para obtener privilegios de sistema o inyectar librerías en procesos remotos, utilizando un controlador legítimo y firmado. Esto permite ejecutar código con el nivel más alto de privilegios disponible, comprometiendo gravemente la seguridad del sistema.
En marzo de 2024, ESET informó a Microsoft sobre la amenaza, siguiendo un proceso coordinado de divulgación de vulnerabilidades. Como resultado, Microsoft eliminó el controlador malicioso del Catálogo de Windows Server el 1 de mayo de 2024. Las tecnologías de ESET ahora detectan esta amenaza como ‘Win{32|64}/HotPage.A y Win{32|64}/HotPage.B’, proporcionando una capa adicional de protección a los usuarios.
El método de distribución de HotPage aún no está claro, pero los investigadores creen que el malware podría haberse incluido en otros paquetes de software o publicitado como un producto de seguridad. La empresa Hubei Dunwang Network Technology Co., Ltd. tiene actividades en desarrollo tecnológico, servicios, consultoría y publicidad, lo que podría explicar su capacidad para distribuir el malware bajo la apariencia de una solución legítima.