Allgemein

Ein Werbeblocker, der keine Werbung blockt

Published

2 Monaten ago

on

Ad-Ware von dubiosem chinesischem Unternehmen nutzt legitime Zertifikate und macht Systeme anfällig

Forscher des IT-Sicherheitsanbieters ESET haben Ende 2023 einen schadhaften Browser-Injector aus China entdeckt. Das Programm, genannt «Hotpage», injiziert Code in Webseiten, um Inhalte darzustellen oder auszublenden. Hotpage gibt sich als Sicherheitsprodukt aus, das Werbung in Chromium-basierten Browsern blockieren soll. Tatsächlich zeigt es jedoch mehr Werbung an und macht betroffene Rechner anfällig für Hacks.

Funktionsweise von Hotpage

Installation und Verhalten:

  • Installationsprogramm: Ende 2023 entdeckten ESET-Forscher das Programm «HotPage.exe».
  • Unsichere Treiber: Der angebliche Werbeblocker enthält einen von Microsoft signierten Treiber, der Code in Remote-Prozesse einschleusen und Netzwerkverkehr manipulieren kann.
  • Manipulation von Webseiten: Die Malware kann Webseiteninhalte ersetzen, Nutzer umleiten oder neue Tabs mit Werbung öffnen.

Sicherheitsrisiken:

  • Hohe Berechtigungen: Die Schadsoftware ermöglicht Hackern, Code mit SYSTEM-Berechtigungen auszuführen, der höchsten Berechtigungsebene im Windows-Betriebssystem.
  • Missbrauch von Zertifikaten: Der HotPage-Treiber zeigt, dass Extended-Verification-Zertifikate missbraucht werden können, was Sicherheitsrisiken für Benutzer schafft.

Hintergrund und Verbreitung

Mysteriöser Hersteller:

  • Unternehmen: Hinter Hotpage steckt das dubiose chinesische Unternehmen Hubei Dunwang Network Technology Co.
  • Wenig Informationen: Über das Unternehmen und den Anteilseigner Wuhan Yishun Baishun Culture Media Co., Ltd. gibt es kaum Informationen. Es scheint sich auf Werbung und Marketing zu spezialisieren.

Verbreitungsmethoden:

  • Bündelung: Die Malware wurde vermutlich mit anderen Softwarepaketen gebündelt oder als Sicherheitsprodukt beworben.
  • Zielgruppe: Hauptsächlich chinesischsprachige Internet-Cafés und deren Nutzer.

Maßnahmen und Schutz

ESET-Maßnahmen:

  • Meldung an Microsoft: ESET meldete die Bedrohung im März 2024 an Microsoft. Am 1. Mai 2024 wurde Hotpage aus dem Windows Server Catalog entfernt.
  • Erkennung und Schutz: ESET-Technologien erkennen die Schadsoftware als Win{32|64}/HotPage.A und Win{32|64}/HotPage.B und bieten zuverlässigen Schutz für Nutzer.

ESET-Forscher Romain Dumont betont die Wichtigkeit, dass Sicherheitsmodelle auf Vertrauen basieren, und warnt vor dem Missbrauch dieses Vertrauens durch Bedrohungsakteure.

#Adware #Sicherheitsrisiko #ITSecurity #Hotpage #ESET #CyberSecurity #BrowserInjector #Microsoft #Schadsoftware #InternetCafé #ExtendedVerification #Malware #ITForscher #China #Sicherheit #Technologie

Related Topics:

Leave a Reply

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Trending

Exit mobile version