Chinese HotPage-browserinjector vervangt webinhoud en zet systeem open voor andere kwetsbaarheden, door ESET Research
ESET Research ontdekte een geavanceerde Chinese browser-injector: een ondertekende, kwetsbare, advertentie-injecterende driver van een mysterieus Chinees bedrijf. Deze bedreiging, die ESET HotPage noemde, komt in een uitvoerbaar bestand dat zijn hoofdstuurprogramma installeert om bibliotheken in Chromium-gebaseerde browsers te injecteren. Het doet zich voor als een beveiligingsproduct dat advertenties kan blokkeren terwijl het nieuwe advertenties inbrengt. De malware kan ook de inhoud van een pagina vervangen, de gebruiker omleiden of een nieuw tabblad openen naar een website vol andere advertenties. De malware introduceert meer kwetsbaarheden en zet het systeem open voor nog meer gevaarlijke bedreigingen. Een aanvaller met een niet-bevoorrecht account kan het kwetsbare stuurprogramma gebruiken om Microsoft SYSTEM-rechten te verkrijgen of bibliotheken in externe processen te injecteren en meer schade aan te richten, terwijl hij een legitiem en ondertekend stuurprogramma gebruikt.
ESET Research vond eind 2023 een installatieprogramma met de naam “HotPage.exe” dat een stuurprogramma installeert dat code in externe processen kan injecteren, en ook twee bibliotheken die het netwerkverkeer van browsers kunnen onderscheppen en ermee knoeien. Het installatieprogramma werd door de meeste beveiligingsproducten als een adware-component gedetecteerd. Wat ESET Research opviel, was het door Microsoft ondertekend ingebouwde stuurprogramma. Volgens de handtekening werd het echter door het Chinese bedrijf Hubei Dunwang Network Technology Co, Ltd ontwikkeld.
“Het gebrek aan informatie over het bedrijf was intrigerend. De distributiemethode is nog steeds onduidelijk, maar volgens ons onderzoek werd deze software geadverteerd als een beveiligingsoplossing voor internetcafés, gericht op Chineessprekenden. Het beweert de surfervaring op internet te verbeteren door advertenties en kwaadaardige websites te blokkeren, terwijl het juist gebruik maakt van de onderscheppings- en filtermogelijkheden van browserverkeer om game-gerelateerde advertenties te laten zien. Het stuurt ook informatie over de computer naar de server van het bedrijf, waar wellicht installatiestatistieken verzameld worden”, zegt ESET-onderzoeker Romain Dumont, die de bedreiging ontdekte.
Volgens beschikbare informatie zijn de activiteiten van het bedrijf doorgaans technologie-gerelateerd zoals ontwikkeling, diensten en advies alsook reclame. De hoofdaandeelhouder is momenteel Wuhan Yishun Baishun Culture Media Co., Ltd., een piepklein bedrijf, gespecialiseerd in reclame en marketing. Door het niveau van de bevoegdheden die nodig zijn om het stuurprogramma te installeren, wordt de malware mogelijk gebundeld met andere softwarepakketten of als een beveiligingsproduct geadverteerd.
Via de melding-callbacks van Windows controleert het stuurprogramma of er nieuwe browsers of tabbladen worden geopend. In bepaalde omstandigheden zal de adware verschillende technieken gebruiken om shellcode in browserprocessen in te brengen en zo de netwerk-manipulerende bibliotheken te laden. Via de Detours hooking-bibliotheek van Microsoft filtert de geïnjecteerde code HTTP(S)-verzoeken en -antwoorden. De malware kan de inhoud van een pagina vervangen, de gebruiker omleiden of simpelweg een nieuw tabblad openen naar een website vol gaming-advertenties. Deze kernelcomponent opent ook de deur voor andere bedreigingen en om code uit te voeren op het hoogste privilegeniveau dat beschikbaar is in het Windows-besturingssysteem: het SYSTEM-account. Door foute toegangsbeperkingen voor deze kernelcomponent kan elk proces ermee communiceren en de code-injectiemogelijkheden gebruiken om zich op niet-beveiligde processen te richten.
“Het HotPage-stuurprogramma herinnert ons eraan dat misbruik van Extended Verification-certificaten nog steeds bestaat. Daar veel beveiligingsmodellen op een bepaald moment gebaseerd zijn op vertrouwen, zijn dreigingsactoren geneigd om tussen legitiem en duister te handelen. Wordt dergelijke software als een beveiligingsoplossing geadverteerd of eenvoudig gebundeld met andere software, de mogelijkheden die dankzij dit vertrouwen worden geboden, stellen gebruikers bloot aan veiligheidsrisico’s”, verduidelijkt Romain Dumont.
In maart 2024 rapporteerde ESET deze driver aan Microsoft en volgde de gecoördineerde bekendmakingsproces van de kwetsbaarheden. ESET-technologieën detecteerden deze bedreiging (die Microsoft op 1 mei 2024 uit de Windows Server-catalogus heeft verwijderd) als Win{32|64}/HotPage.A en Win{32|64}/HotPage.B.
Voor meer technische informatie over HotPage, lees de blog “HotPage: Story of a signed, vulnerable, ad-injecting driver” op WeLiveSecurity.com. Volg zeker ook ESET Research on Twitter (today known as X) voor de nieuwste informatie.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.