Malware de página caliente
Investigadores de ciberseguridad han descubierto un módulo de adware que pretende bloquear anuncios y sitios web fraudulentos. Sin embargo, instala en secreto un componente del controlador del kernel, lo que permite a los piratas informáticos ejecutar código arbitrario con permisos elevados en sistemas Windows. Este malware, llamado HotPage, se identifica por su archivo de instalación, 'HotPage.exe'.
Tabla de contenido
¿Cómo funciona el malware HotPage?
El instalador configura un controlador que puede inyectar código en procesos remotos, junto con dos bibliotecas que interceptan y manipulan el tráfico de red del navegador. Este malware es capaz de modificar o reemplazar el contenido de las páginas web, redirigir a los usuarios a diferentes páginas o abrir nuevas pestañas según condiciones específicas.
Además de utilizar sus funciones de filtrado y interceptación de tráfico para mostrar anuncios relacionados con juegos, el malware está diseñado para recopilar y transmitir información del sistema a un servidor remoto vinculado a Hubei Dunwang Network Technology Co., Ltd, una empresa china.
La función principal del controlador es inyectar estas bibliotecas en las aplicaciones del navegador, alterando su flujo de ejecución para cambiar la URL a la que se accede o garantizar que la página de inicio de nuevas sesiones del navegador sea redirigida a una URL especificada en su configuración.
Los atacantes podrían obtener privilegios del más alto nivel en dispositivos infectados
La falta de listas de control de acceso (ACL) para el controlador permite a un atacante con una cuenta sin privilegios aprovecharlo para obtener privilegios elevados, lo que le permite ejecutar código como la cuenta NT AUTHORITY\System.
Este componente del kernel expone inadvertidamente el nivel de privilegio más alto de Windows, la cuenta del sistema, a posibles amenazas. Debido a restricciones de acceso inadecuadas, cualquier proceso puede interactuar con este componente y utilizar su capacidad de inyección de código para apuntar a procesos desprotegidos.
Si bien el método de distribución exacto del instalador no está claro, hay evidencia que sugiere que se ha comercializado como una solución de seguridad para cibercafés, afirmando que mejora la experiencia de navegación al bloquear anuncios.
Certificado firmado sobre exploits de malware de HotPage
El controlador integrado de este malware es particularmente notable porque está firmado por Microsoft. Se cree que la empresa china detrás de esto cumplió con los requisitos de firma del código de controlador de Microsoft y obtuvo un certificado de verificación extendida (EV). Sin embargo, el controlador se eliminó del catálogo de Windows Server a partir del 1 de mayo de 2024.
Windows requiere que los controladores en modo kernel estén firmados digitalmente como medida de seguridad crítica para protegerse contra controladores fraudulentos que podrían socavar los controles de seguridad e interrumpir los procesos del sistema.
A pesar de esto, los expertos en ciberseguridad han descubierto que los actores de amenazas nativos de habla china están explotando una laguna en la política de Microsoft Windows para falsificar firmas en controladores en modo kernel. El análisis de HotPage, que parece ser un malware relativamente genérico, demuestra que los desarrolladores de adware siguen esforzándose mucho para lograr sus objetivos.
