Tento ad blocker zobrazuje ďalšie reklamy a obsahuje vírusy
Výskumníci ESET objavili sofistikovaný prehliadačový program od záhadnej čínskej spoločnosti, ktorý injektuje reklamu – aj keď sľuboval, že ju bude blokovať. Najzaujímavejšie pritom bolo, že vložený ovládač bol certifikovaný spoločnosťou Microsoft.
Táto hrozba, ktorú nazvali HotPage, sa dodáva samostatne v spustiteľnom súbore. Po inštalácii sa program vkladá do knižnice kódov prehliadačov založených na Chromiu – čo je drvivá väčšina internetových prehliadačov.
HotPage sa vydáva za program na blokovanie reklám, v skutočnosti však zavádza nové reklamy. Okrem toho môže škodlivý softvér nahradiť obsah aktuálnej stránky, presmerovať používateľa alebo jednoducho otvoriť novú kartu webovej stránky plnej ďalších reklám.
Tento softvér má podstatné zraniteľnosti necháva systém otvorený ešte nebezpečnejším hrozbám. Útočníci môžu cez neho získať prístup ku celému vášmu systému.
„Spôsob distribúcie je stále nejasný, ale podľa nášho výskumu bol tento softvér inzerovaný ako bezpečnostné riešenie.,“ vysvetľuje výskumník spoločnosti ESET Romain Dumont, ktorý hrozbu objavil.
Ak sľubujú bezpečnosť a blokovanie reklám, nemusí to byť vždy pravda
Program údajne zlepšuje zážitok z prehliadania webu blokovaním reklám a škodlivých webových stránok, ale realita je úplne iná. Svoje schopnosti a prístupy ku prevádzke prehliadaču zneužíva na zobrazovanie reklám súvisiacich s hrami. Zároveň odosiela niektoré informácie o počítači na server spoločnosti, pravdepodobne na zhromažďovanie štatistík o inštalácii.
Softvér vyvinula firma Hubei Dunwang Network Technology Co., ktorej hlavným akcionárom je Wuhan Yishun Baishun Culture Media Co. Ide o malú spoločnosť, ktorá sa špecializuje na reklamu a marketing. Nástrojom HotPage zrejme videli novú príležitosť na násilné zobrazovanie internetovej reklamy a generovanie zárobkov.
Keďže údajný „bezpečnostný“ softvér vyžadoval pri inštalácii vysoké oprávnenia systému, mohol byť škodlivý softvér už pribalený k nemu. Na druhú stranu HotPage otváral možnosti napadnutia zariadenia aj inými útočníkmi.
Ovládač, ktorý využíval aj tento softvér, dokázal pomocou knižnice filtrovať HTTP(S) požiadavky a odpovede, čo mu dovolilo jednoducho vkladať a nahradzovať kódy v prehliadači. Certifikoval ho aj samotný Microsoft.
Situácia dokazuje, že zneužívanie certifikátov rozšíreného overovania je stále aktuálne aj v roku 2024. Útočníci totiž majú tendenciu operovať na hranici medzi legitímnym a podozrivým. „Bez ohľadu na to, či je takýto softvér inzerovaný ako bezpečnostné riešenie alebo je jednoducho pribalený k inému softvéru, možnosti udelené vďaka tejto dôvere vystavujú používateľov bezpečnostným rizikám,“ dodáva Romain.
ESET nahlásil ovládač Win{32|64}/HotPage.A a Win{32|64}/HotPage.B spoločnosti Microsoft v marci 2024. Spoločnosť ju následne 1. mája 2024 odstránila z katalógu Windows Server Catalog.