A Microsoft aprovou um bloqueador de anúncios falso que injetava malware no nível do kernel

Os cibercriminosos conseguiram entrar no ecossistema seguro da Microsoft usando software malicioso disfarçado de aplicativo normal. Isto ficou conhecido graças a uma investigação conduzida por especialistas em segurança cibernética da Eset.

Fonte da imagem: Copiloto

Apelidado de DWAdsafe e descoberto originalmente no final de 2023, o malware se disfarça como um instalador HotPage.exe que pretende melhorar o desempenho do site e bloquear anúncios. No entanto, na realidade, o DWAdsafe injeta código nos processos do sistema e intercepta o tráfego do navegador, redirecionando os utilizadores para anúncios relacionados com jogos.

Conforme relatado pelo TweakTown, citando um estudo realizado por desenvolvedores de software antivírus da Eset, o malware pode alterar, substituir ou redirecionar o tráfego da web e abrir novas guias, dependendo de certas condições. É interessante que o driver HotPage.exe integrado tenha sido aprovado e assinado pela Microsoft, embora pertencesse à empresa chinesa Hubei Dunwang Network, sobre a qual quase nada se sabia.

Fonte da imagem: Welivesecurity.com

A investigação também descobriu que o software, anunciado como uma “solução de segurança para cibercafés”, tinha como alvo usuários de língua chinesa e coletava dados de computador para fins estatísticos, que eram então redirecionados para o servidor dos desenvolvedores do DWAdsafe.

A preocupação é que o processo de revisão e aprovação da Microsoft tenha permitido que um aplicativo malicioso entrasse no diretório do Windows Server. Romain Dumont, um dos investigadores da Eset, comentou a situação: “Não creio que exista um processo totalmente fiável para verificar todos os dados das empresas e se as funções declaradas do software correspondem às funções reais. A Microsoft poderia fazer verificações mais completas, mas vamos encarar: é uma tarefa difícil e demorada.”

A Eset relatou o malware à Microsoft em 18 de março de 2024. A gigante do software removeu o produto problemático do catálogo do Windows Server em 1º de maio de 2024. Desde então, a Eset rotulou essa ameaça como Win{32|64}/HotPage.A e Win{32|64}/HotPage.B.