O versiune a browser-ului Hola, cunoscut pentru integrarea serviciilor sale de proxy și VPN, a livrat un executabil nedeclarat ce avea funcții specifice unui miner de criptomonede.
Hola Browser este asociat cu serviciul Hola ce livrează soluții de acces online prin proxy și pentru modelul său de re-rutare a traficului prin rețea distribuită, folosit de utilizatori în principal pentru ocolirea restricțiilor geografice și accesarea mai facilă a anumitor servicii online.
Compania de securitate cibernetică Sophos a descoperit că versiunea 1.251.91.0 a Hola Browser distribuia un executabil numit me.exe care nu apărea în lista componentelor certificate ale aplicației.
Analiza inițială a binarului a evidențiat mai multe elemente considerate suspecte: lipsa semnăturii de cod, absența unui timestamp, prezența codului ofuscat și capabilități de scriere în memorie.
Sophos subliniază că niciunul dintre aceste indicii nu demonstrează singur intenție malițioasă, dar combinația lor face ca prezența fișierului într-o aplicație certificată să fie cel puțin suspectă.
Descoperirea a fost făcută în cadrul unui test realizat prin programul AppEsteem Windows Certified Application, care verifică dacă binarele distribuite către utilizatori corespund exact cu cele declarate și certificate.
În timpul verificărilor, Sophos și alți furnizori au detectat în unele instalări Hola Browser un fișier plasat în C:\\Program Files\\Hola\\me.exe, deși acesta nu fusese declarat ca parte oficială a aplicației.
Sophos spune că fișierul nu apărea în toate rundele de testare, ceea ce exclude ipoteza unui payload fix inclus direct în installer și indică mai degrabă o problemă pe lanțul de distribuție, posibil legată de canale de build, pachetare, comportamentul CDN-ului sau configurația pipeline-ului de release.
Din telemetria Sophos, binarul analizat pare să fie un cryptominer. Cercetătorii au găsit stringuri precum „killed orphan miner pid %d”, „user active, stopping miner” și o referință la xmrig-idle, asociată cu un miner bazat pe XMRig.
Atunci când era rulat cu privilegii administrative, fișierul se copia în C:\\Program Files\\Hola\\HolaMonitorService.exe și crea un serviciu Windows numit hola_monitor_svc, configurat să pornească automat și să ruleze când sistemul era idle.
Compania Hola, dezvoltatorul browser-ului, a confirmat că a detectat activitate anormală în pipeline-ul de distribuție și că livrarea afectată a fost oprită imediat.
Investigația realizată împreună cu firma Sygnia a confirmat că nu au fost accesate sau exfiltrate date ale utilizatorilor și că incidentul a afectat aproximativ 0,1% dintre utilizatori. Totodată, Hola afirmă că și-a reconstruit complet pipeline-ul de distribuție și a introdus verificări suplimentare de code signing, controale de acces mai stricte și monitorizare continuă.
