- Автор темы
- #1
Исследователи обнаружили, что браузер Hola для Windows был скомпрометирован в ходе атаки на цепочку поставок. В результате вместе с браузером некоторые пользователи получали скрытый исполняемый файл, который оказался майнером криптовалюты Monero.
Проблему выявили во время очередной проверки Hola в рамках сертификации AppEsteem. Ранее браузер успешно проходил эти проверки, однако на этот раз специалисты заметили подозрительный файл me.exe, который в отдельных случаях появлялся в каталоге C:\Program Files\Hola.
Анализ показал, что этот компонент не проходил сертификацию, не имел цифровой подписи и временных меток, содержал обфусцированный код и обладал возможностями для записи в память. Более детальное исследование, проведенное экспертами из компании Sophos, выявило признаки майнера.
По данным специалистов, малварь добавляла себя в исключения Microsoft Defender, копировала собственный бинарник под именем HolaMonitorService.exe, создавала службу Windows hola_monitor_svc для автоматического запуска и начинала майнить только в периоды простоя системы.
После получения уведомления от AppEsteem разработчики Hola подтвердили факт компрометации. По их словам, атаку также независимо зафиксировали специалисты компании Sygnia.
Разработчики утверждают, что инцидент затронул лишь около 0,1% пользователей. Кроме того, в компании подчеркнули, что не обнаружили никаких признаков доступа к пользовательским данным или их кражи, а также иных свидетельств компрометации.
Генеральный директор Hola Ави Раз Коэн (Avi Raz Cohen) заявил, что после инцидента компания полностью перестроила процесс распространения ПО, усилила контроль доступа, внедрила дополнительные механизмы проверки цифровых подписей и организовала постоянный мониторинг инфраструктуры.
При этом представители Hola не раскрыли детали самой атаки, не сообщили, кто мог стоять за компрометацией цепочки поставок, а также не уточнили, затронул ли этот инцидент пользователей других платформ, кроме Windows.
Проблему выявили во время очередной проверки Hola в рамках сертификации AppEsteem. Ранее браузер успешно проходил эти проверки, однако на этот раз специалисты заметили подозрительный файл me.exe, который в отдельных случаях появлялся в каталоге C:\Program Files\Hola.
Анализ показал, что этот компонент не проходил сертификацию, не имел цифровой подписи и временных меток, содержал обфусцированный код и обладал возможностями для записи в память. Более детальное исследование, проведенное экспертами из компании Sophos, выявило признаки майнера.
По данным специалистов, малварь добавляла себя в исключения Microsoft Defender, копировала собственный бинарник под именем HolaMonitorService.exe, создавала службу Windows hola_monitor_svc для автоматического запуска и начинала майнить только в периоды простоя системы.
После получения уведомления от AppEsteem разработчики Hola подтвердили факт компрометации. По их словам, атаку также независимо зафиксировали специалисты компании Sygnia.
Разработчики утверждают, что инцидент затронул лишь около 0,1% пользователей. Кроме того, в компании подчеркнули, что не обнаружили никаких признаков доступа к пользовательским данным или их кражи, а также иных свидетельств компрометации.
Генеральный директор Hola Ави Раз Коэн (Avi Raz Cohen) заявил, что после инцидента компания полностью перестроила процесс распространения ПО, усилила контроль доступа, внедрила дополнительные механизмы проверки цифровых подписей и организовала постоянный мониторинг инфраструктуры.
При этом представители Hola не раскрыли детали самой атаки, не сообщили, кто мог стоять за компрометацией цепочки поставок, а также не уточнили, затронул ли этот инцидент пользователей других платформ, кроме Windows.