Sommario
Alla fine del 2023, è stato scoperto un installer chiamato HotPage.exe che distribuisce un driver capace di iniettare codice in processi remoti e due librerie in grado di intercettare e manomettere il traffico di rete dei browser. Questo malware può modificare o sostituire il contenuto di una pagina richiesta, reindirizzare l’utente a un’altra pagina o aprire una nuova pagina in una nuova scheda in base a determinate condizioni.
Dettagli tecnici e scoperta del malware
L’installer HotPage.exe era rilevato dalla maggior parte dei prodotti di sicurezza come un componente adware, ma ciò che ha destato l’interesse degli esperti è stato il driver firmato da Microsoft, sviluppato da una società cinese chiamata Hubei Dunwang Network Technology Co., Ltd. Questo driver è stato pubblicizzato come una soluzione di sicurezza per Internet café, promettendo di migliorare l’esperienza di navigazione bloccando annunci e siti web dannosi, ma in realtà sfrutta le sue capacità di intercettazione per visualizzare annunci relativi a giochi e inviare informazioni sul computer al server dell’azienda.
Vulnerabilità e impatti
Oltre al comportamento malevolo, questo componente kernel lascia una porta aperta per altre minacce, consentendo l’esecuzione di codice con il massimo livello di privilegio disponibile nel sistema operativo Windows: l’account SYSTEM. A causa delle restrizioni di accesso improprie a questo componente kernel, qualsiasi processo può comunicare con esso e sfruttare la sua capacità di iniezione di codice per prendere di mira processi non protetti.
Il 18 marzo 2024, questo driver è stato segnalato a Microsoft, che ha rimosso il driver dal Windows Server Catalog il 1 maggio 2024. Le tecnologie di ESET rilevano questa minaccia come Win{32|64}/HotPage.A e Win{32|64}/HotPage.B.
Analisi della Società Sviluppatrice
La società cinese Hubei Dunwang Network Technology Co., Ltd, creata il 6 gennaio 2022, ha sviluppato il driver HotPage, pubblicizzato come una soluzione di sicurezza per Internet café. Nonostante le affermazioni della società che il loro software non ha funzionalità di intercettazione, l’analisi ha rivelato che il software possiede effettivamente capacità intrusive con regole pre-scritte e non modificabili.
Installazione e funzionamento del malware
L’installer di HotPage.exe, una volta eseguito, decrittografa il driver e lo memorizza in una directory di sistema, creando un servizio per eseguirlo. Il driver tenta di iniettare una delle librerie elencate nel processo del browser, modificando il flusso di esecuzione per cambiare l’URL a cui si accede o aprire una pagina in una nuova scheda. Questo malware sfrutta il progetto Blackbone per gestire l’iniezione di codice e le notifiche di creazione dei processi.
Impatto e conclusione
Il driver HotPage rappresenta una seria minaccia alla sicurezza, con capacità di intercettare e manomettere il traffico di rete dei browser, visualizzare pubblicità intrusive e raccogliere informazioni sul sistema compromesso. Secondo ESET, la scoperta di questo malware sottolinea l’importanza di monitorare attentamente e gestire le firme dei driver per prevenire abusi che possano compromettere la sicurezza degli utenti.
