ESET descubre una sofisticada amenaza china que reemplaza contenido web y abre el sistema a vulnerabilidades

El grupo de investigación ESET Research ha descubierto una sofisticada amenaza de origen chino dirigida a navegadores. Este malware, denominado ‘HotPage’ por ESET, es un controlador firmado y vulnerable que inyecta anuncios, proveniente de una misteriosa empresa china. La amenaza se hace pasar por un producto de seguridad que bloquea la publicidad; sin embargo, en realidad introduce aún más anuncios.

El equipo de ESET explica que ‘HotPage’ puede reemplazar el contenido de la página actual, redirigir al usuario o simplemente abrir una nueva pestaña con un sitio web lleno de anuncios de juegos. Además, esta amenaza deja la puerta abierta para que otras amenazas ejecuten código con el nivel más alto de privilegios disponible en el sistema operativo Windows.

A finales de 2023, los investigadores de ESET se toparon con un instalador llamado ‘HotPage.exe’ que despliega un controlador capaz de inyectar código en procesos remotos y dos librerías capaces de interceptar y manipular el tráfico de red de los navegadores. La mayoría de los productos de seguridad detectaron el instalador como un componente de adware. Sin embargo, lo que realmente llamó la atención de los investigadores de ESET fue el controlador incrustado, firmado por Microsoft. Según su firma, fue desarrollado por una empresa china llamada Hubei Dunwang Network Technology Co., Ltd.

Una Amenaza que se Hace Pasar por un Producto de Seguridad

“La falta de información sobre la empresa resultaba intrigante. El método de distribución aún no está claro, pero según nuestra investigación, este software se hacía pasar por una solución de seguridad para cibercafés dirigida a personas de habla china. Afirmaba mejorar la experiencia de navegación bloqueando anuncios y sitios web maliciosos, pero la realidad es bastante diferente: utiliza sus capacidades de interceptación y filtrado de tráfico del navegador para mostrar anuncios relacionados con juegos. Además, envía información sobre el ordenador al servidor de la empresa, probablemente para recopilar estadísticas de instalación”, explica Romain Dumont, investigador de ESET que descubrió la amenaza.

Distribución y Alcance de la Amenaza

Según la información disponible, el ámbito de negocio de la empresa incluye actividades relacionadas con la tecnología, como desarrollo, servicios y consultoría, pero también actividades publicitarias. El principal accionista actualmente es Wuhan Yishun Baishun Culture Media Co., Ltd., una empresa muy pequeña que parece estar especializada en publicidad y marketing. Debido al nivel de privilegios necesarios para instalar el controlador, es posible que el malware haya sido incluido con otros paquetes de software o se haya publicitado como un producto de seguridad.

Acciones de ESET y Microsoft

ESET informó de este inyector de navegador a Microsoft en marzo de 2024 y siguió su proceso coordinado de divulgación de vulnerabilidades. Las tecnologías de ESET detectan esta amenaza -que Microsoft eliminó del Catálogo de Windows Server el 1 de mayo de 2024- como ‘Win{32|64}/HotPage.A y Win{32|64}/HotPage.B’.

Conclusiones y Medidas a Tomar

Para los usuarios, es crucial mantener actualizados sus sistemas y contar con soluciones de seguridad confiables que puedan detectar y eliminar este tipo de amenazas. La cooperación entre empresas de seguridad y proveedores de sistemas operativos es vital para proteger a los usuarios de estos sofisticados ataques.

Para obtener más información técnica sobre HotPage, consulta el blogpost “HotPage: Historia de un controlador firmado, vulnerable e inyector de anuncios” en WeLiveSecurity.com. Asegúrate de seguir a ESET Research en X para conocer las últimas noticias e investigaciones del grupo.