Namiesto blokovania reklám ich dostanete ešte viac. Pozor na nebezpečný ovládač!

Nikoho neteší priveľa reklamy, aj keď je zrejmé, že vďaka nej máme v mnohých prípadoch oveľa lacnejšie služby, či dokonca úplne zadarmo.

Dobrým príkladom je internet a prístup mnohým funkciám. Mnohí používatelia preto siahajú po rozličných blokátoroch reklám. ESET teraz zistil, že nemusí ísť vôbec o dobrý nápad.

Výskumníci z ESET-u objavili sofistikovaný čínsky prehliadačový injektor. Nie je to však jediné, čo och zaujalo. Má totiž podpísaný certifikát od Microsoftu, napriek tomu, že ide o zraniteľný ovládač od záhadnej čínskej spoločnosti, ktorý vháňa reklamu.

Nová hrozba dostala meno HotPage, dodáva sa v samostatne v spustiteľnom súbore, ktorý inštaluje svoj hlavný ovládač a injektuje knižnice do prehliadačov založených na Chromiu. Paradoxom je, že aj keď sa vydáva za bezpečnostný produkt na blokovanie reklamy, v skutočnosti zavádza nové reklamy. To je však len začiatok. Škodlivý softvér môže nahradiť obsah aktuálnej stránky, presmerovať používateľa, alebo jednoducho otvoriť novú kartu webstránky plnej ďalších reklám.

HotPage nemá núdzu o ďalšie nepríjemné prekvapenia, škodlivý softvér obsahuje ďalšie zraniteľnosti a necháva systém otvorený ešte nebezpečnejším hrozbám. Útočník s neprivilegovaným účtom by mohol zraniteľný ovládač využiť na získanie systémových oprávnení, resp. injektovať knižnice do vzdialených procesov s cieľom spôsobiť ďalšie škody, a to všetko pri použití legitímneho a podpísaného ovládača.

Výskumníci narazili na inštalátor s názvom „HotPage.exe“ koncom minulého roka. Nasadzuje ovládač schopný injektovať kód do vzdialených procesov a dve knižnice schopné zachytávať vďaka čomu dokáže manipulovať so sieťovou prevádzkou prehliadačov. Inštalátor bol väčšinou bezpečnostných produktov detekovaný ako súčasť advéru. Expertov z ESET-u však zaujalo, že vložený ovládač podpísaný Microsoftom! Podľa podpisu ho vyvinula čínska spoločnosť Hubei Dunwang Network Technology Co, Ltd.

„Nedostatok informácií o spoločnosti bol zaujímavý. Spôsob distribúcie je stále nejasný, ale podľa nášho výskumu bol tento softvér inzerovaný ako bezpečnostné riešenie pre internetové kaviarne zamerané na čínsky hovoriace osoby. Údajne zlepšuje zážitok z prehliadania webu blokovaním reklám a škodlivých webových stránok, ale realita je úplne iná – využíva svoje schopnosti zachytávania a filtrovania prevádzky prehliadača na zobrazovanie reklám súvisiacich s hrami. Zároveň odosiela niektoré informácie o počítači na server spoločnosti, pravdepodobne na zhromažďovanie štatistík o inštalácii,“ vysvetľuje Romain Dumont z ESET-u, ktorý hrozbu objavil.

Ovládač HotPage takto pripomína, že zneužívanie a falšovanie sa nevyhýba ani certifikátom, ktoré sa bežne považujú za dôveryhodné. ESET nahlásil tento ovládač Microsoftu už v marci 2024 a postupoval podľa jej koordinovaného procesu odhaľovania zraniteľností. Technológie spoločnosti ESET túto hrozbu, ktorú Microsoft 1. mája 2024 odstránil z katalógu Windows Server Catalog, detegovali ako Win{32|64}/HotPage.A a Win{32|64}/HotPage.B.

TECHBOX.sk môže za predaj produktu v článku získať províziu formou affiliate programov.