HotPage, injecteur de pub chinois, remplace le contenu Web et ouvre le système à d'autres vulnérabilités, une découverte d’ESET
Publié le 18/07/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research a découvert un injecteur de navigateur chinois sophistiqué baptisé HotPage.
• C’est un pilote signé, vulnérable qui injecte de la pub provenant d'une mystérieuse société chinoise.
• La menace se présente comme un produit de sécurité bloquant les publicités alors qu’elle en introduit encore plus.
• HotPage peut remplacer le contenu de la page, rediriger l'utilisateur ou ouvrir un nouvel onglet vers un site Web rempli d'annonces de jeux.
• Cette menace ouvre la porte à d'autres pour exécuter du code avec le niveau de privilège le plus élevé disponible dans le système d'exploitation Windows.
BRATISLAVA, MONTREAL, le 18 juillet 2024 — ESET Research a découvert un injecteur de navigateur chinois sophistiqué : un pilote d'injection de pub signé et vulnérable provenant d'une mystérieuse société chinoise. Cette menace, qu'ESET a nommée HotPage, se trouve dans un fichier exécutable qui installe son pilote principal et injecte des bibliothèques dans les navigateurs basés Chromium. Elle se présente comme un produit de sécurité capable de bloquer les pubs mais en réalité elle en introduit de nouvelles. De plus, le maliciel remplace le contenu de la page, redirige l'utilisateur ou ouvre un nouvel onglet vers un site Web rempli d'autres pubs. Le maliciel introduit plus de vulnérabilités et ouvre le système à des menaces encore plus dangereuses. Un attaquant avec un compte non privilégié peut exploiter le pilote vulnérable pour obtenir les privilèges SYTEM ou injecter des bibliothèques dans des processus distants afin de causer encore d’autres dommages tout en utilisant un pilote légitime et signé.
Fin 2023, les chercheurs d'ESET ont trouvé un installateur nommé « HotPage.exe » qui déploie un pilote pouvant injecter du code dans des processus distants, et deux bibliothèques capables d'intercepter et de falsifier le trafic réseau des navigateurs. Le programme d'installation a été détecté par la plupart des produits de sécurité comme un composant publicitaire. C'est le pilote intégré signé par Microsoft qui a impressionné les chercheurs d'ESET. Sa signature montre qu’il a été développé par une société chinoise nommée Hubei Dunwang Network Technology Co., Ltd.
« Le manque d’informations sur l’entreprise intriguait. La méthode de distribution n'est pas claire, mais d’après nous, ce logiciel est présenté comme une solution de sécurité pour les cybercafés et destinée aux personnes parlant chinois. Il prétend améliorer l'expérience de navigation Web en bloquant les pubs et les sites Web malveillants, mais en fait c’est tout autre : il exploite les capacités d'interception de trafic et de filtrage du navigateur pour afficher des pubs liées aux jeux. Il envoie des informations sur l’ordinateur au serveur de l’entreprise, très probablement pour recueillir des statistiques d’installation », explique Romain Dumont, le chercheur d’ESET, qui l’a découvert.
Selon les informations disponibles, les activités de l'entreprise se rapportent à la technologie telles que le développement, les services et le conseil ainsi que des activités publicitaires. L’actionnaire principal est Wuhan Yishun Baishun Culture Media Co., Ltd., une très petite entreprise qui semble spécialisée dans la publicité et le marketing. En raison du niveau de privilèges requis pour installer le pilote, le maliciel peut avoir été associé à d'autres logiciels ou présenté comme produit de sécurité.
Le composant pilote surveille les nouveaux navigateurs ou onglets ouverts grâce à des rappels de notification Windows. Dans certaines conditions, le logiciel publicitaire utilise diverses techniques pour injecter du code shell dans les processus du navigateur afin de charger ses bibliothèques pour falsifier le réseau. Avec la bibliothèque Detours de Microsoft, le code injecté HTTP(S) filtre les requêtes et les réponses. Le maliciel peut remplacer le contenu de la page, rediriger l'utilisateur ou ouvrir un nouvel onglet vers un site Web rempli d'annonces de jeux. En plus de son comportement malveillant évident, ce composant de base ouvre la porte à d'autres menaces pour exécuter du code avec le niveau de privilège le plus élevé disponible dans le système d'exploitation Windows : le compte SYSTEM. À la suite de restrictions d'accès inappropriées à ce composant de base, n'importe quel processus peut communiquer avec lui et exploiter sa capacité d'injection de code pour cibler tous les processus non protégés.
« Le pilote HotPage nous rappelle que l’abus des certificats de vérification étendue est toujours présent. Alors que de nombreux modèles de sécurité reposent sur la confiance, les acteurs de la menace sont à la frontière entre le légitime et le douteux. Que ce logiciel soit présenté comme une solution de sécurité ou simplement associé à d'autres logiciels, les capacités accordées grâce à cette confiance exposent les utilisateurs à des risques sécuritaires », ajoute Romain Dumont.
ESET a signalé ce pilote à Microsoft en mars 2024 et a suivi son processus de divulgation des vulnérabilités. Les technologies ESET ont détecté cette menace, supprimée par Microsoft du catalogue Windows Server le 1er mai 2024, sous les noms Win {32|64}/HotPage.A et Win{32|64}/HotPage.B.
Pour plus d'informations techniques sur HotPage, lisez le blog “HotPage: Story of a signed, vulnerable, ad-injecting driver” sur https://www.welivesecurity.com/en/eset-research/hotpage-story-signed-vulnerable-ad-injecting-driver/. Suivez ESET Research sur Twitter (aujourd'hui connu sous le nom de X) pour les dernières nouvelles.
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les entreprises, les infrastructures critiques et les individus. Qu’il s’agisse de protection des terminaux, du cloud ou des mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
• C’est un pilote signé, vulnérable qui injecte de la pub provenant d'une mystérieuse société chinoise.
• La menace se présente comme un produit de sécurité bloquant les publicités alors qu’elle en introduit encore plus.
• HotPage peut remplacer le contenu de la page, rediriger l'utilisateur ou ouvrir un nouvel onglet vers un site Web rempli d'annonces de jeux.
• Cette menace ouvre la porte à d'autres pour exécuter du code avec le niveau de privilège le plus élevé disponible dans le système d'exploitation Windows.
BRATISLAVA, MONTREAL, le 18 juillet 2024 — ESET Research a découvert un injecteur de navigateur chinois sophistiqué : un pilote d'injection de pub signé et vulnérable provenant d'une mystérieuse société chinoise. Cette menace, qu'ESET a nommée HotPage, se trouve dans un fichier exécutable qui installe son pilote principal et injecte des bibliothèques dans les navigateurs basés Chromium. Elle se présente comme un produit de sécurité capable de bloquer les pubs mais en réalité elle en introduit de nouvelles. De plus, le maliciel remplace le contenu de la page, redirige l'utilisateur ou ouvre un nouvel onglet vers un site Web rempli d'autres pubs. Le maliciel introduit plus de vulnérabilités et ouvre le système à des menaces encore plus dangereuses. Un attaquant avec un compte non privilégié peut exploiter le pilote vulnérable pour obtenir les privilèges SYTEM ou injecter des bibliothèques dans des processus distants afin de causer encore d’autres dommages tout en utilisant un pilote légitime et signé.
Fin 2023, les chercheurs d'ESET ont trouvé un installateur nommé « HotPage.exe » qui déploie un pilote pouvant injecter du code dans des processus distants, et deux bibliothèques capables d'intercepter et de falsifier le trafic réseau des navigateurs. Le programme d'installation a été détecté par la plupart des produits de sécurité comme un composant publicitaire. C'est le pilote intégré signé par Microsoft qui a impressionné les chercheurs d'ESET. Sa signature montre qu’il a été développé par une société chinoise nommée Hubei Dunwang Network Technology Co., Ltd.
« Le manque d’informations sur l’entreprise intriguait. La méthode de distribution n'est pas claire, mais d’après nous, ce logiciel est présenté comme une solution de sécurité pour les cybercafés et destinée aux personnes parlant chinois. Il prétend améliorer l'expérience de navigation Web en bloquant les pubs et les sites Web malveillants, mais en fait c’est tout autre : il exploite les capacités d'interception de trafic et de filtrage du navigateur pour afficher des pubs liées aux jeux. Il envoie des informations sur l’ordinateur au serveur de l’entreprise, très probablement pour recueillir des statistiques d’installation », explique Romain Dumont, le chercheur d’ESET, qui l’a découvert.
Selon les informations disponibles, les activités de l'entreprise se rapportent à la technologie telles que le développement, les services et le conseil ainsi que des activités publicitaires. L’actionnaire principal est Wuhan Yishun Baishun Culture Media Co., Ltd., une très petite entreprise qui semble spécialisée dans la publicité et le marketing. En raison du niveau de privilèges requis pour installer le pilote, le maliciel peut avoir été associé à d'autres logiciels ou présenté comme produit de sécurité.
Le composant pilote surveille les nouveaux navigateurs ou onglets ouverts grâce à des rappels de notification Windows. Dans certaines conditions, le logiciel publicitaire utilise diverses techniques pour injecter du code shell dans les processus du navigateur afin de charger ses bibliothèques pour falsifier le réseau. Avec la bibliothèque Detours de Microsoft, le code injecté HTTP(S) filtre les requêtes et les réponses. Le maliciel peut remplacer le contenu de la page, rediriger l'utilisateur ou ouvrir un nouvel onglet vers un site Web rempli d'annonces de jeux. En plus de son comportement malveillant évident, ce composant de base ouvre la porte à d'autres menaces pour exécuter du code avec le niveau de privilège le plus élevé disponible dans le système d'exploitation Windows : le compte SYSTEM. À la suite de restrictions d'accès inappropriées à ce composant de base, n'importe quel processus peut communiquer avec lui et exploiter sa capacité d'injection de code pour cibler tous les processus non protégés.
« Le pilote HotPage nous rappelle que l’abus des certificats de vérification étendue est toujours présent. Alors que de nombreux modèles de sécurité reposent sur la confiance, les acteurs de la menace sont à la frontière entre le légitime et le douteux. Que ce logiciel soit présenté comme une solution de sécurité ou simplement associé à d'autres logiciels, les capacités accordées grâce à cette confiance exposent les utilisateurs à des risques sécuritaires », ajoute Romain Dumont.
ESET a signalé ce pilote à Microsoft en mars 2024 et a suivi son processus de divulgation des vulnérabilités. Les technologies ESET ont détecté cette menace, supprimée par Microsoft du catalogue Windows Server le 1er mai 2024, sous les noms Win {32|64}/HotPage.A et Win{32|64}/HotPage.B.
Pour plus d'informations techniques sur HotPage, lisez le blog “HotPage: Story of a signed, vulnerable, ad-injecting driver” sur https://www.welivesecurity.com/en/eset-research/hotpage-story-signed-vulnerable-ad-injecting-driver/. Suivez ESET Research sur Twitter (aujourd'hui connu sous le nom de X) pour les dernières nouvelles.
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les entreprises, les infrastructures critiques et les individus. Qu’il s’agisse de protection des terminaux, du cloud ou des mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.