{"id":1281966,"date":"2024-07-18T15:48:39","date_gmt":"2024-07-18T15:48:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-el-adware-hotpage-camuflado-como-bloqueador-de-anuncios-instala-un-controlador-de-kernel-malicioso\/"},"modified":"2024-07-18T15:48:43","modified_gmt":"2024-07-18T15:48:43","slug":"alerta-el-adware-hotpage-camuflado-como-bloqueador-de-anuncios-instala-un-controlador-de-kernel-malicioso","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-el-adware-hotpage-camuflado-como-bloqueador-de-anuncios-instala-un-controlador-de-kernel-malicioso\/","title":{"rendered":"Alerta: El adware HotPage camuflado como bloqueador de anuncios instala un controlador de kernel malicioso"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Malware \/ Seguridad de Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Alerta-El-adware-HotPage-camuflado-como-bloqueador-de-anuncios-instala.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han arrojado luz sobre un m\u00f3dulo de adware que pretende bloquear anuncios y sitios web maliciosos, mientras descarga sigilosamente un componente de controlador de kernel que otorga a los atacantes la capacidad de ejecutar c\u00f3digo arbitrario con permisos elevados en los hosts de Windows.<\/p>\n<p>El malware, denominado HotPage, recibe su nombre del instalador hom\u00f3nimo (&#8220;HotPage.exe&#8221;), seg\u00fan nuevos hallazgos de ESET.<\/p>\n<p>El instalador &#8220;despliega un controlador capaz de inyectar c\u00f3digo en procesos remotos y dos bibliotecas capaces de interceptar y manipular el tr\u00e1fico de red de los navegadores&#8221;, dijo el investigador de ESET Romain Dumont. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/hotpage-story-signed-vulnerable-ad-injecting-driver\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis t\u00e9cnico publicado hoy.<\/p>\n<p>&#8220;El malware puede modificar o reemplazar el contenido de una p\u00e1gina solicitada, redirigir al usuario a otra p\u00e1gina o abrir una nueva p\u00e1gina en una nueva pesta\u00f1a seg\u00fan ciertas condiciones&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Adem\u00e1s de aprovechar sus capacidades de interceptaci\u00f3n y filtrado del tr\u00e1fico del navegador para mostrar anuncios relacionados con el juego, est\u00e1 dise\u00f1ado para recopilar y filtrar informaci\u00f3n del sistema a un servidor remoto asociado con una empresa china llamada Hubei Dunwang Network Technology Co., Ltd (\u6e56\u5317\u76fe\u7f51\u7f51\u7edc\u79d1\u6280\u6709\u9650\u516c\u53f8).<\/p>\n<p>Esto se logra por medio de un controlador, cuyo objetivo principal es inyectar las bibliotecas en las aplicaciones del navegador y alterar su flujo de ejecuci\u00f3n para cambiar la URL a la que se accede o garantizar que la p\u00e1gina de inicio de la nueva instancia del navegador web se redirija a una URL particular especificada en una configuraci\u00f3n.<\/p>\n<p>Pero eso no es todo. La ausencia de listas de control de acceso (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/MicrosoftDocs\/windows-driver-docs\/blob\/staging\/windows-driver-docs-pr\/driversecurity\/windows-security-model.md\" target=\"_blank\">Listas de control de acceso (ACL)<\/a>) para el controlador significaba que un atacante con una cuenta sin privilegios podr\u00eda aprovecharlo para obtener privilegios elevados y ejecutar c\u00f3digo como la cuenta NT AUTHORITYSystem.<\/p>\n<p>&#8220;Este componente del n\u00facleo deja la puerta abierta sin querer para que otras amenazas ejecuten c\u00f3digo en el nivel de privilegio m\u00e1s alto disponible en el sistema operativo Windows: la cuenta del sistema&#8221;, dijo Dumont. &#8220;Debido a las restricciones de acceso indebidas a este componente del n\u00facleo, cualquier proceso puede comunicarse con \u00e9l y aprovechar su capacidad de inyecci\u00f3n de c\u00f3digo para atacar cualquier proceso no protegido&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721317719_686_Alerta-El-adware-HotPage-camuflado-como-bloqueador-de-anuncios-instala.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721317719_686_Alerta-El-adware-HotPage-camuflado-como-bloqueador-de-anuncios-instala.png\" alt=\"Programas publicitarios HotPage\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Programas publicitarios HotPage\"\/><\/a><\/div>\n<p>Aunque no se conoce el m\u00e9todo exacto por el cual se distribuye el instalador, la evidencia reunida por la empresa de ciberseguridad eslovaca muestra que se ha publicitado como una soluci\u00f3n de seguridad para cibercaf\u00e9s que pretende mejorar la experiencia de navegaci\u00f3n de los usuarios al detener los anuncios.<\/p>\n<p>El controlador integrado se destaca por el hecho de que est\u00e1 firmado por Microsoft. Se cree que la empresa china ha pasado por el proceso de certificaci\u00f3n de Microsoft. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/dashboard\/code-signing-reqs\" target=\"_blank\">Requisitos de firma del c\u00f3digo del conductor<\/a> y logr\u00f3 obtener un certificado de Verificaci\u00f3n Extendida (EV). Ha sido eliminado de la lista <a rel=\"nofollow noopener\" href=\"https:\/\/www.windowsservercatalog.com\/\" target=\"_blank\">Cat\u00e1logo de servidores de Windows<\/a> a partir del 1 de mayo de 2024.<\/p>\n<p>Se requiere que los controladores en modo kernel est\u00e9n firmados digitalmente para poder ser cargados por el sistema operativo Windows, una importante capa de defensa erigida por Microsoft para proteger contra controladores maliciosos que podr\u00edan usarse para subvertir los controles de seguridad e interferir con los procesos del sistema.<\/p>\n<p>Dicho esto, Cisco Talos revel\u00f3 en julio pasado c\u00f3mo actores de amenazas nativos de habla china est\u00e1n explotando una laguna en la pol\u00edtica de Microsoft Windows para falsificar firmas en controladores de modo kernel.<\/p>\n<p>&#8220;El an\u00e1lisis de este malware de aspecto bastante gen\u00e9rico ha demostrado, una vez m\u00e1s, que los desarrolladores de adware todav\u00eda est\u00e1n dispuestos a hacer un esfuerzo adicional para lograr sus objetivos&#8221;, dijo Dumont.<\/p>\n<p>&#8220;No s\u00f3lo eso, han desarrollado un componente kernel con un amplio conjunto de t\u00e9cnicas para manipular procesos, sino que tambi\u00e9n pasaron por los requisitos impuestos por Microsoft para obtener un certificado de firma de c\u00f3digo para su componente controlador&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/alert-hotpage-adware-disguised-as-ad.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 de julio de 2024\ue804Sala de prensaMalware \/ Seguridad de Windows Los investigadores de ciberseguridad han arrojado luz<\/p>\n","protected":false},"author":1,"featured_media":1281967,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,167055,5172,20284,4661,27430,108757,440,4664,11999,4662,243146,27834,18039,4668,4667,6210,239182,4654,239508,4658,4659,4653,4666,4665,239484],"class_list":["post-1281966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-adware","tag-alerta","tag-anuncios","tag-ataques-ciberneticos","tag-bloqueador","tag-camuflado","tag-como","tag-como-hackear","tag-controlador","tag-filtracion-de-datos","tag-hotpage","tag-instala","tag-kernel","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malicioso","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1281966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1281966"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1281966\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1281967"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1281966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1281966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1281966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}