Allgemein
Ein Werbeblocker, der keine Werbung blockt
Ad-Ware von dubiosem chinesischem Unternehmen nutzt legitime Zertifikate und macht Systeme anfällig
Forscher des IT-Sicherheitsanbieters ESET haben Ende 2023 einen schadhaften Browser-Injector aus China entdeckt. Das Programm, genannt «Hotpage», injiziert Code in Webseiten, um Inhalte darzustellen oder auszublenden. Hotpage gibt sich als Sicherheitsprodukt aus, das Werbung in Chromium-basierten Browsern blockieren soll. Tatsächlich zeigt es jedoch mehr Werbung an und macht betroffene Rechner anfällig für Hacks.
Funktionsweise von Hotpage
Installation und Verhalten:
- Installationsprogramm: Ende 2023 entdeckten ESET-Forscher das Programm «HotPage.exe».
- Unsichere Treiber: Der angebliche Werbeblocker enthält einen von Microsoft signierten Treiber, der Code in Remote-Prozesse einschleusen und Netzwerkverkehr manipulieren kann.
- Manipulation von Webseiten: Die Malware kann Webseiteninhalte ersetzen, Nutzer umleiten oder neue Tabs mit Werbung öffnen.
Sicherheitsrisiken:
- Hohe Berechtigungen: Die Schadsoftware ermöglicht Hackern, Code mit SYSTEM-Berechtigungen auszuführen, der höchsten Berechtigungsebene im Windows-Betriebssystem.
- Missbrauch von Zertifikaten: Der HotPage-Treiber zeigt, dass Extended-Verification-Zertifikate missbraucht werden können, was Sicherheitsrisiken für Benutzer schafft.
Hintergrund und Verbreitung
Mysteriöser Hersteller:
- Unternehmen: Hinter Hotpage steckt das dubiose chinesische Unternehmen Hubei Dunwang Network Technology Co.
- Wenig Informationen: Über das Unternehmen und den Anteilseigner Wuhan Yishun Baishun Culture Media Co., Ltd. gibt es kaum Informationen. Es scheint sich auf Werbung und Marketing zu spezialisieren.
Verbreitungsmethoden:
- Bündelung: Die Malware wurde vermutlich mit anderen Softwarepaketen gebündelt oder als Sicherheitsprodukt beworben.
- Zielgruppe: Hauptsächlich chinesischsprachige Internet-Cafés und deren Nutzer.
Maßnahmen und Schutz
ESET-Maßnahmen:
- Meldung an Microsoft: ESET meldete die Bedrohung im März 2024 an Microsoft. Am 1. Mai 2024 wurde Hotpage aus dem Windows Server Catalog entfernt.
- Erkennung und Schutz: ESET-Technologien erkennen die Schadsoftware als Win{32|64}/HotPage.A und Win{32|64}/HotPage.B und bieten zuverlässigen Schutz für Nutzer.
ESET-Forscher Romain Dumont betont die Wichtigkeit, dass Sicherheitsmodelle auf Vertrauen basieren, und warnt vor dem Missbrauch dieses Vertrauens durch Bedrohungsakteure.
#Adware #Sicherheitsrisiko #ITSecurity #Hotpage #ESET #CyberSecurity #BrowserInjector #Microsoft #Schadsoftware #InternetCafé #ExtendedVerification #Malware #ITForscher #China #Sicherheit #Technologie