Estás leyendo
ESET descubre una sofisticada amenaza de origen chino capaz de reemplazar contenido web y abrir el sistema a otras vulnerabilidades
Banner

ESET descubre una sofisticada amenaza de origen chino capaz de reemplazar contenido web y abrir el sistema a otras vulnerabilidades

  • El equipo de investigación de ESET ha bautizado a esta amenaza como ‘HotPage’ 
  • Se trata de un controlador firmado y vulnerable que inyecta anuncios, proveniente de una misteriosa empresa china 
  • La amenaza se hace pasar por un producto de seguridad que bloquea la publicidad; sin embargo, en realidad introduce aún más anuncios 
  • HotPage puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña con un sitio web lleno de anuncios de juegos 
  • La amenaza deja la puerta abierta para que otras amenazas ejecuten código con el nivel más alto de privilegios disponible en el sistema operativo Windows
ciberseguridad datos

El grupo de investigación Research ha  descubierto un sofisticado chino dirigido a   : un controlador firmado y vulnerable que inyecta anuncios, proveniente de una misteriosa empresa china. Esta amenaza, que ESET ha denominado ‘HotPage’, viene en un archivo ejecutable que instala su controlador principal e inyecta librerías maliciosas en navegadores basados en Chromium. Haciéndose pasar por un producto de seguridad capaz de bloquear la publicidad, HotPage en realidad introduce nuevos anuncios. Además, el malware puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña con un sitio web lleno de otros anuncios. El sofisticado inyector de navegador chino introduce más vulnerabilidades y deja el sistema abierto a amenazas aún más peligrosas. Un atacante con una cuenta sin privilegios podría aprovechar el controlador vulnerable para obtener privilegios de sistema o inyectar librerías en procesos remotos para causar más daños, todo mientras utiliza un controlador legítimo y firmado.

A finales de 2023, los investigadores de ESET se toparon con un instalador llamado ‘HotPage.exe’ que despliega un controlador capaz de inyectar código en procesos remotos y dos librerías capaces de interceptar y manipular el tráfico de red de los navegadores. La mayoría de los productos de seguridad detectaron el instalador como un componente de adware. Lo que realmente llamó la atención de los investigadores de ESET fue el controlador incrustado, firmado por Microsoft. Según su firma, fue desarrollado por una empresa china llamada Hubei Dunwang Network Technology Co., Ltd.

La falta de información sobre la empresa resultaba intrigante. El método de distribución aún no está claro, pero según nuestra investigación, este software se hacía pasar por una solución de seguridad para cibercafés dirigida a personas de habla china. Afirmaba mejorar la experiencia de navegación bloqueando anuncios y sitios web maliciosos, pero la realidad es bastante diferente: utiliza sus capacidades de interceptación y filtrado de tráfico del navegador para mostrar anuncios relacionados con juegos. Además, envía información sobre el ordenador al servidor de la empresa, probablemente para recopilar estadísticas de instalación.Romain Dumont, investigador de ESET que descubrió la amenaza.

Según la información disponible, el ámbito de negocio de la empresa incluye actividades relacionadas con la tecnología, como desarrollo, servicios y consultoría, pero también actividades publicitarias. El principal accionista actualmente es Wuhan Yishun Baishun Culture Media Co., Ltd., una empresa muy pequeña que parece estar especializada en publicidad y marketing. Debido al nivel de privilegios necesarios para instalar el controlador, es posible que el malware haya sido incluido con otros paquetes de software o se haya publicitado como un producto de seguridad.

ESET informó de este inyector de navegador a Microsoft en marzo de 2024 y siguió su proceso coordinado de divulgación de vulnerabilidades. Las tecnologías de ESET detectan esta amenaza -que Microsoft eliminó del Catálogo de Windows Server el 1 de mayo de 2024- como ‘Win{32|64}/HotPage.A y Win{32|64}/HotPage.B’.

Te puede interesar
OpenAi ChatGPT

Para obtener más información técnica sobre HotPage, consulta el blogpost «HotPage: Historia de un controlador firmado, vulnerable e inyector de anuncios» en WeLiveSecurity.com. Asegúrate de seguir a ESET Research en X para conocer las últimas noticias e investigaciones del grupo.

Utilizamos cookies para facilitar la relación de los visitantes con nuestro contenido y para permitir elaborar estadísticas sobre las visitantes que recibimos. No se utilizan cookies con fines publicitarios ni se almacena información de tipo personal. Puede gestionar las cookies desde aquí.   
Privacidad