18 de julio de 2024Sala de prensaMalware / Seguridad de Windows Investigadores de ciberseguridad han arrojado luz sobre un módulo de adware que pretende bloquear anuncios y sitios web maliciosos, mientras descarga sigilosamente un componente de controlador de kernel que otorga a los atacantes la capacidad de ejecutar código arbitrario con permisos elevados en hosts de Windows. El malware, denominado HotPage, recibe su nombre del instalador homónimo («HotPage.exe»), según los nuevos hallazgos de ESET. El instalador «implementa un controlador capaz de inyectar código en procesos remotos y dos bibliotecas capaces de interceptar y manipular el tráfico de red de los navegadores», dijo el investigador de ESET Romain Dumont en un análisis técnico publicado hoy. «El malware puede modificar o reemplazar el contenido de una página solicitada, redirigir al usuario a otra página o abrir una nueva página en una nueva pestaña según ciertas condiciones». Además de aprovechar sus capacidades de interceptación y filtrado del tráfico del navegador para mostrar anuncios relacionados con los juegos, está diseñado para recolectar y exfiltrar información del sistema a un servidor remoto asociado con una empresa china llamada Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司). Esto se logra por medio de un controlador, cuyo objetivo principal es inyectar las bibliotecas en las aplicaciones del navegador y alterar su flujo de ejecución para cambiar la URL a la que se accede o garantizar que la página de inicio de la nueva instancia del navegador web se redirija a una URL particular especificada en una configuración. Eso no es todo. La ausencia de listas de control de acceso (ACL) para el controlador significa que un atacante con una cuenta sin privilegios podría aprovecharlo para obtener privilegios elevados y ejecutar código como la cuenta NT AUTHORITY\System. «Este componente del núcleo deja involuntariamente la puerta abierta para que otras amenazas ejecuten código en el nivel de privilegio más alto disponible en el sistema operativo Windows: la cuenta System», dijo Dumont. «Debido a restricciones de acceso indebidas a este componente del núcleo, cualquier proceso puede comunicarse con él y aprovechar su capacidad de inyección de código para atacar a cualquier proceso no protegido». Aunque no se conoce el método exacto por el que se distribuye el instalador, las pruebas reunidas por la empresa de ciberseguridad eslovaca muestran que se ha publicitado como una solución de seguridad para cibercafés que pretende mejorar la experiencia de navegación de los usuarios al detener los anuncios. El controlador integrado se destaca por el hecho de que está firmado por Microsoft. Se cree que la empresa china ha cumplido con los requisitos de firma de código del controlador de Microsoft y ha logrado obtener un certificado de verificación extendida (EV). Se ha eliminado del catálogo de Windows Server a partir del 1 de mayo de 2024. Se ha exigido que los controladores en modo kernel estén firmados digitalmente para que el sistema operativo Windows los cargue, una importante capa de defensa erigida por Microsoft para protegerse contra controladores maliciosos que podrían utilizarse como arma para subvertir los controles de seguridad e interferir con los procesos del sistema. Dicho esto, Cisco Talos reveló en julio pasado cómo actores de amenazas nativos de habla china están explotando un vacío legal en las políticas de Microsoft Windows para falsificar firmas en controladores en modo kernel. «El análisis de este malware de aspecto bastante genérico ha demostrado, una vez más, que los desarrolladores de adware todavía están dispuestos a hacer un esfuerzo adicional para lograr sus objetivos», dijo Dumont. «No solo eso, han desarrollado un componente kernel con un gran conjunto de técnicas para manipular procesos, sino que también cumplieron con los requisitos impuestos por Microsoft para obtener un certificado de firma de código para su componente de controlador». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.