ESET Identifie HotPage : un logiciel malveillant chinois déguisé en bloqueur de publicités

Prochain article
  • ESET Research a découvert un injecteur de navigateur chinois sophistiqué baptisé HotPage.
  • Il s'agit d'un pilote signé, qui se présente comme un bloqueur de publicités mais qui en réalité, en introduit davantage.
  • HotPage peut remplacer le contenu d’une page, rediriger l'utilisateur, ou ouvrir un nouvel onglet contenant des annonces de jeux.
  • Cette menace permet à d'autres attaques d'exécuter du code avec les privilèges les plus élevés du système d'exploitation Windows.

ESET Research a découvert un injecteur de navigateur chinois sophistiqué nommé HotPage. Ce logiciel malveillant, présenté comme un bloqueur de publicités, installe un pilote signé mais vulnérable et injecte des publicités dans les navigateurs basés sur Chromium. Il peut rediriger les utilisateurs ou ouvrir de nouveaux onglets vers des sites remplis de publicités. De plus, il introduit des vulnérabilités supplémentaires, rendant le système plus susceptible aux attaques. Un attaquant pourrait exploiter ce pilote vulnérable pour obtenir des privilèges SYSTEM ou injecter des bibliothèques dans des processus distants.

Fin 2023, les chercheurs d'ESET ont découvert "HotPage.exe", un installateur qui déploie un pilote capable d'injecter du code et de falsifier le trafic réseau des navigateurs. Fait intriguant, bien que détecté comme composant publicitaire, ce pilote est signé par Microsoft et développé par la société chinoise Hubei Dunwang Network Technology Co., Ltd.

« La méthode de distribution reste floue, mais nos recherches montrent que ce logiciel est promu comme une solution de sécurité pour les cybercafés sinophones. Il prétend bloquer les publicités et les sites malveillants, mais en réalité, il utilise ses capacités pour afficher des publicités liées aux jeux et envoyer des informations sur l'ordinateur à son serveur. Il collecte probablement des statistiques d'installation », explique Romain Dumont, chercheur chez ESET, qui a découvert la menace.

Selon les informations collectées, l'entreprise développe des technologies, fournit des services et du conseil, et mène des activités publicitaires. Son principal actionnaire est Wuhan Yishun Baishun Culture Media Co., Ltd., une petite entreprise spécialisée dans la publicité et le marketing. Le logiciel malveillant, nécessitant des privilèges élevés pour installer le pilote, peut avoir été associé à d'autres progiciels ou promu comme un produit de sécurité.

Le pilote surveille les nouveaux navigateurs ouverts via les notifications Windows et injecte du shellcode pour charger ses bibliothèques de falsification du réseau. Utilisant la bibliothèque Detours de Microsoft, il filtre les requêtes et réponses HTTP(S), modifie le contenu des pages, redirige l'utilisateur ou ouvre des onglets avec des publicités de jeux. Ce composant du noyau, avec des restrictions d'accès inadéquates, permet à tout processus de communiquer avec lui et d'injecter du code dans des processus non protégés, ouvrant ainsi la porte à d'autres menaces.

« Le pilote HotPage rappelle que l'abus des certificats de vérification étendue reste un problème. Les modèles de sécurité reposant sur la confiance sont vulnérables aux acteurs malveillants jouant sur la frontière entre légitime et douteux. Présenté comme une solution de sécurité ou associé à d'autres logiciels, ce type de logiciel expose les utilisateurs à des risques accrus », explique Romain Dumont.

ESET a signalé ce pilote à Microsoft en mars 2024 et a suivi un processus de divulgation coordonnée. Les technologies ESET détectent cette menace, que Microsoft a retirée du catalogue Windows Server le 1er mai 2024, sous les noms Win{32|64}/HotPage.A et Win{32|64}/HotPage.B.

Pour plus d'informations techniques sur HotPage, lisez l'article de blog "HotPage : L'histoire d'un pilote signé, vulnérable et injecteur de publicité" sur WeLiveSecurity.com.

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur... les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun. Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et Twitter.