Forscher des IT-Sicherheitsanbieters ESET haben Ende 2023 einen schadhaften Browser-Injector aus China entdeckt. Dabei handelt es sich um ein Programm, das Code in Webseiten „injiziert“, um zum Beispiel andere Inhalte darzustellen oder auszublenden. Die von ESET „Hotpage“ getaufte Malware gibt sich als Sicherheitsprodukt aus, das auch Werbung in Chromium-basierten Browser blockieren kann. Allerdings blockt das Programm keine Werbeinhalte, sondern zeigt dem Nutzer mehr Reklame an als zuvor.
Darüber hinaus macht Hotpage betroffene Rechner anfällig für Hacks: Die Malware verfügt über unsichere, von Microsoft signierte Treiber; Hacker können sie ausnutzen, um weitreichende Zugriffsrechte auf Zielsystemen ihrer Opfer zu erhalten. Das Hauptziel von Hotpage waren chinesischsprachige Internet-Cafés, deren Nutzer mit Werbung bombardiert werden sollten.
Wie Hotpage funktioniert
ESET Forscher stießen gegen Ende 2023 auf ein Installationsprogramm namens „HotPage.exe“. Der angebliche Werbeblocker verfügt über einen Treiber, der Code in Remote-Prozesse einschleusen kann. Zudem kann er den Netzwerkverkehr von Browsern abfangen und manipulieren. Das Installationsprogramm wurde von den meisten Sicherheitsprodukten als Adware erkannt. Den Forschern fiel besonders der eingebettete, von Microsoft signierte Treiber auf.
Die Malware kann den Inhalt der aktuellen Seite ersetzen, den Benutzer umleiten oder eine neue Registerkarte mit einer Website voller Werbung für Spiele öffnen.
Weitreichende Rechte öffnen Hackern Tür und Angel
Abgesehen von ihrem offensichtlich bösartigen Verhalten bereitet die Schadsoftware anderen Bedrohungen den Weg. Sie ermöglicht ihnen, Code auf der höchsten im Windows-Betriebssystem verfügbaren Berechtigungsebene auszuführen: dem SYSTEM-Konto.
„Der HotPage-Treiber zeigt, dass der Missbrauch von Extended Verification-Zertifikaten immer aktuell ist. Da viele Sicherheitsmodelle auf Vertrauen beruhen, neigen Bedrohungsakteure dazu, dieses Vertrauen zu missbrauchen. Unabhängig davon, ob solche Software als Sicherheitslösung angepriesen oder einfach mit anderer Software gebündelt wird, setzen die dank dieses Vertrauens gewährten Funktionen die Benutzer Sicherheitsrisiken aus", erklärt ESET Forscher Romain Dumont, der die Bedrohung entdeckt hat.
Mysteriöser Hersteller steckt hinter der Malware
Hinter Hotpage steckt ein dubioses chinesisches Unternehmen namens Hubei Dunwang Network Technology Co. Dies geht aus der Treiber-Signatur des Programms hervor. Über das Unternehmen existieren so gut wie keine Informationen, nur der dahinterstehende Anteilseigner Wuhan Yishun Baishun Culture Media Co., Ltd. ist bekannt. Dabei handelt es sich um ein sehr kleines Unternehmen, das sich anscheinend auf Werbung und Marketing spezialisiert hat. Die für die Installation des Treibers erforderlichen Berechtigungen lassen vermuten, dass sie die Malware mit anderen Softwarepaketen gebündelt oder als Sicherheitsprodukt beworben wurde.
„Das Fehlen von Informationen über das Unternehmen hat uns verblüfft. Die Verbreitungsmethode ist noch unklar, aber nach unseren Recherchen wurde diese Software als Sicherheitslösung für Internetcafés beworben. Sie richtet sich an chinesischsprachige Personen und gibt vor, das Surfen im Internet durch das Blockieren von Werbung und bösartigen Websites zu verbessern. Die Realität sieht indes ganz anders aus: Sie fängt den Browserverkehr ab und filtert ihn, um Werbung für Spiele anzuzeigen,“ erklärt Dumont weiter.
ESET meldete Hotpage im März 2024 an Microsoft, woraufhin diese Bedrohung am 01. Mai 2024 aus dem Windows Server Catalog entfernt wurde. ESET Technologien erkennen die Schadsoftware als Win{32|64}/HotPage.A und Win{32|64}/HotPage.B und schützen Nutzer zuverlässig.
Weitere technische Informationen zu HotPage finden Sie in dem Blogbeitrag „HotPage: Die Geschichte einer Ad-ware“ auf WeLiveSecurity.com.
Abb. 1: Darstellung einer normalen Startseite…
Abb. 2: …und wie Hotpage Werbung für Spiele einfügt.