ESET пролила свет на модуль рекламного ПО HotPage, которое, маскируясь под блокировщик рекламы, позволяет злоумышленникам выполнять произвольный код с повышенными привилегиями на компьютерах Windows.
Файл HotPage.exe появился на VirusTotal ещё в конце прошлого года. Несмотря на то, что файл был подписан Microsoft и разработан, казалось бы, реальной компанией, антивирусные продукты обозначают его как рекламное ПО. Но ситуация ещё хуже – вместо удаления рекламы, HotPage внедряет ещё больше рекламы, перехватывая веб-трафик и перенаправляя содержимое в браузерах жертв.
Во время отображения рекламных баннеров HotPage собирает системную информацию для передачи на удалённый сервер, связанный с китайской компанией Hubei Dunwang Network Technology Co., Ltd.
Рабочий процесс установщика HotPage
Также HotPage устанавливает драйвер, способный внедрять код в удаленные процессы, что позволяет злоумышленнику выполнить вредоносный код с наивысшими привилегиями.
Примечательно, что встроенный драйвер подписан компанией Microsoft. Китайская компания сумела пройти требования Microsoft для получения сертификата расширенной проверки (Extended Verification, EV), что позволило драйверу избежать подозрений и обойти защитные механизмы Windows. Однако, с 1 мая 2024 года драйвер был удалён из каталога серверов Windows.
Одной из наиболее опасных особенностей HotPage является отсутствие контролей доступа (Access Control Lists, ACL) для драйвера. То есть киберпреступник с обычными правами пользователя может получить повышенные привилегии и выполнить код от имени системного аккаунта NT AUTHORITYSystem.
Точный метод распространения HotPage пока неизвестен, но специалисты обнаружили, что HotPage рекламировался как решение для интернет-кафе, якобы предназначенное для улучшения работы пользователей в интернете за счёт блокировки рекламы.