HotPage.exe: Un caballo de Troya con certificado de Microsoft

A finales de 2023, los investigadores se encontraron con un hallazgo intrigante: un instalador llamado HotPage.exe.En primera instancia, esta aplicación parecía ser un software publicitario más. Sin embargo, un análisis más profundo reveló que detrás de su fachada inofensiva se escondía un sofisticado programa malicioso con impresionantes capacidades.

HotPage.exe instala un controlador capaz de inyectar código en procesos remotos, así como dos bibliotecas que interceptan y modifican el tráfico de red de los navegadores. Esto permite que el malware altere el contenido de las páginas web solicitadas, redirija al usuario a otros sitios o abra nuevas pestañas bajo ciertas condiciones.

Lo que más llamó la atención de los investigadores fue el hecho de que el controlador estaba firmado con un certificado de Microsoft. Según la firma, fue desarrollado por la empresa china 湖北盾网网络科技有限公司 (Hubei Dunwang Network Technology Co., Ltd). La falta de información sobre esta firma solo aumentó el interés de los expertos.

El programa se promocionaba como una "solución de seguridad para cibercafés", dirigida a una audiencia de habla china. Supuestamente, debía facilitar la navegación bloqueando publicidad y sitios maliciosos. Sin embargo, en realidad, su objetivo principal era inyectar publicidad de juegos en los navegadores de los usuarios.

Este componente del núcleo también dejaba, inadvertidamente, una brecha para otras amenazas. Debido a restricciones de acceso incorrectas, cualquier proceso podía interactuar con el controlador y explotar sus capacidades.

Los investigadores informaron del problema a Microsoft el 18 de marzo de 2024. Tras una revisión, el Microsoft Security Response Center (MSRC) determinó que la vulnerabilidad ya no era relevante, ya que el controlador problemático fue eliminado del catálogo de Windows Server el 1 de mayo de 2024.

Al estudiar la firma digital del controlador, los expertos descubrieron que la empresa china había pasado por el proceso de verificación de Microsoft para la firma de códigos de controladores y obtuvo un certificado de verificación extendida (Extended Verification, EV). Evidentemente, los atacantes hicieron grandes esfuerzos para dar legitimidad a su producto.

Como reveló una investigación posterior, la empresa fue registrada el 6 de enero de 2022. Según los datos oficiales, su ámbito de actividad incluye el desarrollo de tecnologías, consultoría y servicios publicitarios. El accionista principal es una pequeña firma llamada Wuhan Yishun Baishun Culture Media Co., Ltd, especializada en publicidad y marketing.

En abril y mayo de 2022, la empresa solicitó el registro de la marca "Shield Internet Café Security Defense". El 22 de febrero de 2022 se creó el sitio web dwadsafe[.]com, que estaba inaccesible en el momento de la investigación.

Al examinar el sitio web del programa, los investigadores encontraron una interesante discrepancia. El producto se promocionaba como una "plataforma de protección activa para cibercafés", pero el acuerdo de licencia contenía información contradictoria. En un apartado se decía que DwAdsafe no tenía funciones de interceptación y no afectaba a otros programas. Sin embargo, otro apartado del mismo acuerdo afirmaba que el programa tenía amplias capacidades de control sobre el ordenador, incluyendo la interceptación, monitoreo e incluso eliminación de datos.

El análisis técnico del instalador HotPage.exe reveló las siguientes características:

1. El archivo estaba comprimido con el empaquetador UPX.
2. El instalador contenía versiones cifradas del controlador, bibliotecas para inyectar en los procesos de los navegadores y tres archivos de configuración JSON.
3. Al ejecutarse, el programa verifica si se está ejecutando en un entorno virtual, utilizando la instrucción CPUID.
4. El controlador se guarda en la carpeta C:\Windows\ShieldNetWork\Business\ bajo un nombre aleatorio de 7 caracteres con la extensión .sys.
5. Se crea un servicio para iniciar el controlador, pero sin mecanismos de autoinicio.

El instalador interactúa con el controlador a través de su dispositivo de archivo, utilizando los siguientes códigos de control de entrada/salida:

• 0x9C4013FC – envío de la biblioteca de 32 bits para inyectar en los procesos de los navegadores.
• 0x9C400FFC – envío de la biblioteca de 64 bits para inyectar en los procesos de los navegadores.
• 0x9C40173C – envío de la configuración de chromedll.
• 0x9C400BFC – envío de la configuración actualizada newtalbe.

El archivo de configuración newtalbe contiene información importante para el funcionamiento del malware, incluyendo:

• Plantillas de URL para la recopilación de estadísticas.
• Lista de dominios para redirigir al usuario.
• API-endpoints para actualizar la lista de dominios de juegos y enviar información sobre el ordenador infectado.
• Listas de plantillas para aplicar reglas de redirección.

El controlador crea dos hilos: uno para inyectar las bibliotecas en los procesos de los navegadores y otro para abrir nuevas pestañas. También establece manejadores de notificaciones para la creación de procesos y la carga de imágenes ejecutables, para monitorear nuevos procesos.

La biblioteca inyectada intercepta las funciones SSL_read y SSL_write, lo que permite manipular el tráfico TLS descifrado. Para ello, se utilizan plantillas especiales encontradas en los módulos cargados del navegador.

La biblioteca también intercepta la función NtDeviceIoControlFile para manejar ciertos códigos IOCTL. Esto permite cancelar solicitudes DNS y modificar solicitudes HTTP entrantes y salientes basadas en reglas de los archivos de configuración.

Así, bajo la apariencia de un programa para mejorar la seguridad de los cibercafés, los atacantes crearon un sofisticado malware capaz de manipular el tráfico de red e inyectar publicidad. Este caso demuestra lo ingeniosas que pueden ser las amenazas cibernéticas modernas y subraya la importancia de un análisis minucioso incluso de aplicaciones aparentemente inofensivas.