Ein Werbeblocker, der keine Werbung blockt

Nächste PM

Forscher des IT-Sicherheitsanbieters ESET haben Ende 2023 einen schadhaften Browser-Injector aus China entdeckt. Dabei handelt es sich um ein Programm, das Code in Webseiten „injiziert“, um zum Beispiel andere Inhalte darzustellen oder auszublenden. Die von ESET „Hotpage“ getaufte Malware gibt sich als Sicherheitsprodukt aus, das auch Werbung in Chromium-basierten Browser blockieren kann. Allerdings blockt das Programm keine Werbeinhalte, sondern zeigt dem Nutzer mehr Reklame an als zuvor.

Darüber hinaus macht Hotpage betroffene Rechner anfällig für Hacks: Die Malware verfügt über unsichere, von Microsoft signierte Treiber; Hacker können sie ausnutzen, um weitreichende Zugriffsrechte auf Zielsystemen ihrer Opfer zu erhalten. Das Hauptziel von Hotpage waren chinesischsprachige Internet-Cafés, deren Nutzer mit Werbung bombardiert werden sollten.

Wie Hotpage funktioniert

ESET Forscher stießen gegen Ende 2023 auf ein Installationsprogramm namens „HotPage.exe“. Der angebliche Werbeblocker verfügt über einen Treiber, der Code in Remote-Prozesse einschleusen kann. Zudem kann er den Netzwerkverkehr von Browsern abfangen und manipulieren. Das Installationsprogramm wurde von den meisten Sicherheitsprodukten als Adware erkannt. Den Forschern fiel besonders der eingebettete, von Microsoft signierte Treiber auf.  

Die Malware kann den Inhalt der aktuellen Seite ersetzen, den Benutzer umleiten oder eine neue Registerkarte mit einer Website voller Werbung für Spiele öffnen.

Weitreichende Rechte öffnen Hackern Tür und Angel

Abgesehen von ihrem offensichtlich bösartigen Verhalten bereitet die Schadsoftware anderen Bedrohungen den Weg. Sie ermöglicht ihnen, Code auf der höchsten im Windows-Betriebssystem verfügbaren Berechtigungsebene auszuführen: dem SYSTEM-Konto.

„Der HotPage-Treiber zeigt, dass der Missbrauch von Extended Verification-Zertifikaten immer aktuell ist. Da viele Sicherheitsmodelle auf Vertrauen beruhen, neigen Bedrohungsakteure dazu, dieses Vertrauen zu missbrauchen. Unabhängig davon, ob solche Software als Sicherheitslösung angepriesen oder einfach mit anderer Software gebündelt wird, setzen die dank dieses Vertrauens gewährten Funktionen die Benutzer Sicherheitsrisiken aus", erklärt ESET Forscher Romain Dumont, der die Bedrohung entdeckt hat.

Mysteriöser Hersteller steckt hinter der Malware

Hinter Hotpage steckt ein dubioses chinesisches Unternehmen namens Hubei Dunwang Network Technology Co. Dies geht aus der Treiber-Signatur des Programms hervor. Über das Unternehmen existieren so gut wie keine Informationen, nur der dahinterstehende Anteilseigner Wuhan Yishun Baishun Culture Media Co., Ltd. ist bekannt. Dabei handelt es sich um ein sehr kleines Unternehmen, das sich anscheinend auf Werbung und Marketing spezialisiert hat. Die für die Installation des Treibers erforderlichen Berechtigungen lassen vermuten, dass sie die Malware mit anderen Softwarepaketen gebündelt oder als Sicherheitsprodukt beworben wurde.

„Das Fehlen von Informationen über das Unternehmen hat uns verblüfft. Die Verbreitungsmethode ist noch unklar, aber nach unseren Recherchen wurde diese Software als Sicherheitslösung für Internetcafés beworben. Sie richtet sich an chinesischsprachige Personen und gibt vor, das Surfen im Internet durch das Blockieren von Werbung und bösartigen Websites zu verbessern. Die Realität sieht indes ganz anders aus: Sie fängt den Browserverkehr ab und filtert ihn, um Werbung für Spiele anzuzeigen,“ erklärt Dumont weiter.

ESET meldete Hotpage im März 2024 an Microsoft, woraufhin diese Bedrohung am 01. Mai 2024 aus dem Windows Server Catalog entfernt wurde. ESET Technologien erkennen die Schadsoftware als Win{32|64}/HotPage.A und Win{32|64}/HotPage.B und schützen Nutzer zuverlässig.

Weitere technische Informationen zu HotPage finden Sie in dem Blogbeitrag „HotPage: Die Geschichte einer Ad-ware“ auf WeLiveSecurity.com.

Abb. 1: Darstellung einer normalen Startseite…

Abb. 2: …und wie Hotpage Werbung für Spiele einfügt.

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.