Los investigadores han descubierto una nueva forma de malware llamada HotPage.exe. Detectado inicialmente a finales de 2023, este malware se hace pasar por un instalador que aparentemente mejora la navegación web al bloquear anuncios y sitios web maliciosos. Sin embargo, en realidad inyecta código en procesos remotos e intercepta el tráfico del navegador. Como se describe en un aviso publicado por ESET el día de hoy, el malware puede modificar, reemplazar o redirigir el contenido web y abrir nuevas pestañas en función de condiciones específicas. Curiosamente, el controlador integrado de HotPage.exe estaba firmado por Microsoft, pero se atribuía a una empresa china llamada Hubei Dunwang Network Technology Co., Ltd. Esto generó sospechas debido a la escasa información disponible sobre la empresa. Comercializado como una «solución de seguridad para cibercafés» para usuarios de habla china, el software supuestamente fue diseñado para mejorar la experiencia de navegación. En cambio, redirige a los usuarios a anuncios relacionados con juegos y recopila datos sobre el equipo del usuario con fines estadísticos. ESET informó de esta vulnerabilidad a Microsoft el 18 de marzo de 2024, tras el proceso coordinado de divulgación de vulnerabilidades. Microsoft eliminó el controlador ofensivo del Catálogo de Windows Server el 1 de mayo de 2024. Desde entonces, ESET ha etiquetado esta amenaza como Win{32|64}/HotPage.A y Win{32|64}/HotPage.B. Lea más sobre las vulnerabilidades del controlador en modo kernel: NVIDIA y Arm instan a los clientes a corregir los errores Investigaciones posteriores revelaron que Hubei Dunwang Network Technology Co., Ltd. explotó los requisitos de firma de código del controlador de Microsoft para obtener un certificado de verificación extendida (EV). ESET dijo que esto subraya los continuos abusos del sistema basado en la confianza para la firma de controladores. La empresa, registrada a principios de 2022, tiene antecedentes turbios y su dominio, dwadsafe.com, ahora está fuera de línea. Desglose técnico del malware HotPage Desde un punto de vista técnico, el proceso de instalación del malware implica colocar un controlador en el disco, descifrar los archivos de configuración e inyectar bibliotecas en los navegadores basados ​​en Chromium. El controlador manipula el tráfico del navegador conectándose a funciones API de Windows basadas en la red, modificando URL o abriendo nuevas pestañas con contenido lleno de publicidad. Un problema crítico con este malware es su componente de kernel, que inadvertidamente permite que otras amenazas ejecuten código en el nivel de privilegio más alto en el sistema operativo Windows. Esto se debe a restricciones de acceso inadecuadas, lo que permite que cualquier proceso se comunique con el componente de kernel y explote sus capacidades de inyección de código. Las implicaciones más amplias de esta técnica son notables para la industria de la ciberseguridad. El uso de un controlador legítimo y firmado por parte del malware no solo facilita el adware intrusivo, sino que también expone los sistemas a más riesgos de seguridad. Los atacantes podrían explotar esta vulnerabilidad para obtener privilegios a nivel de sistema o inyectar código malicioso en los procesos, aprovechando la confianza inherentemente depositada en los controladores firmados. Para defenderse de amenazas como esta, los investigadores de seguridad sugieren actualizar regularmente el software, utilizar soluciones de seguridad integrales y mantener controles de acceso estrictos.