Os cibercriminosos conseguiram entrar no ecossistema seguro da Microsoft usando software malicioso disfarçado de aplicativo normal. Isto ficou conhecido graças a uma investigação conduzida por especialistas em segurança cibernética da Eset.
Apelidado de DWAdsafe e descoberto originalmente no final de 2023, o malware se disfarça como um instalador HotPage.exe que pretende melhorar o desempenho do site e bloquear anúncios. No entanto, na realidade, o DWAdsafe injeta código nos processos do sistema e intercepta o tráfego do navegador, redirecionando os utilizadores para anúncios relacionados com jogos.
Conforme relatado pelo TweakTown, citando um estudo realizado por desenvolvedores de software antivírus da Eset, o malware pode alterar, substituir ou redirecionar o tráfego da web e abrir novas guias, dependendo de certas condições. É interessante que o driver HotPage.exe integrado tenha sido aprovado e assinado pela Microsoft, embora pertencesse à empresa chinesa Hubei Dunwang Network, sobre a qual quase nada se sabia.
A investigação também descobriu que o software, anunciado como uma “solução de segurança para cibercafés”, tinha como alvo usuários de língua chinesa e coletava dados de computador para fins estatísticos, que eram então redirecionados para o servidor dos desenvolvedores do DWAdsafe.
A preocupação é que o processo de revisão e aprovação da Microsoft tenha permitido que um aplicativo malicioso entrasse no diretório do Windows Server. Romain Dumont, um dos investigadores da Eset, comentou a situação: “Não creio que exista um processo totalmente fiável para verificar todos os dados das empresas e se as funções declaradas do software correspondem às funções reais. A Microsoft poderia fazer verificações mais completas, mas vamos encarar: é uma tarefa difícil e demorada.”
A Eset relatou o malware à Microsoft em 18 de março de 2024. A gigante do software removeu o produto problemático do catálogo do Windows Server em 1º de maio de 2024. Desde então, a Eset rotulou essa ameaça como Win{32|64}/HotPage.A e Win{32|64}/HotPage.B.