Hola Browser dla Windows skompromitowana w ataku na łańcuch dostaw i użyta do dystrybucji koparki kryptowalut - Security Bez Tabu

Hola Browser dla Windows skompromitowana w ataku na łańcuch dostaw i użyta do dystrybucji koparki kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

Atak na łańcuch dostaw oprogramowania to jeden z najgroźniejszych scenariuszy w cyberbezpieczeństwie, ponieważ nie wymaga bezpośredniego przełamania zabezpieczeń ofiary końcowej. Zamiast tego napastnik kompromituje proces budowania, pakowania, podpisywania lub dystrybucji legalnej aplikacji, dzięki czemu złośliwy komponent trafia do użytkownika jako pozornie zaufana część instalatora.

Właśnie taki przypadek ujawniono w odniesieniu do windowsowej wersji Hola Browser. W części instalacji razem z przeglądarką dostarczany był dodatkowy plik wykonywalny powiązany z kopaniem kryptowaluty Monero, co wskazuje na klasyczny incydent typu software supply chain.

W skrócie

  • Incydent objął proces dystrybucji Hola Browser dla systemu Windows.
  • W niektórych przypadkach instalator dostarczał niezadeklarowany plik me.exe.
  • Plik nie posiadał podpisu cyfrowego ani znacznika czasu i zawierał cechy typowe dla malware.
  • Złośliwy komponent działał jak koparka kryptowalut Monero.
  • Malware dodawał wyjątek w Microsoft Defender, kopiował się jako HolaMonitorService.exe i tworzył usługę hola_monitor_svc.
  • Producent potwierdził incydent i poinformował o zmianach w pipeline’ie dystrybucyjnym.

Kontekst / historia

Hola jest rozpoznawalnym dostawcą rozwiązań VPN i proxy, a sama przeglądarka bazuje na Chromium. Produkt od lat budził zainteresowanie branży bezpieczeństwa ze względu na model działania usług sieciowych oraz sposób obsługi ruchu użytkowników.

Opisany incydent został wykryty podczas testów integralności aplikacji realizowanych w ramach procesu certyfikacyjnego. To szczególnie ważne, ponieważ sugeruje, że zagrożenie nie zostało początkowo wychwycone przez standardowe mechanizmy producenta, lecz przez dodatkową warstwę weryfikacji jakości i bezpieczeństwa. Niezależnie od tego próbka miała zostać zauważona również przez firmy specjalizujące się w analizie zagrożeń.

Przypadek Hola Browser wpisuje się w szerszy trend ataków na legalne łańcuchy dostaw oprogramowania. Dla obrońców jest to szczególnie trudny typ incydentu, ponieważ złośliwy kod pojawia się w kontekście aplikacji, której użytkownik lub organizacja już ufa.

Analiza techniczna

Najważniejszym artefaktem był plik me.exe, odnaleziony w części instalacji w katalogu C:\Program Files\Hola\. Według analizy był to składnik nieuwzględniony w certyfikowanym zestawie plików, co samo w sobie oznacza naruszenie integralności pakietu instalacyjnego.

Podejrzany komponent wykazywał kilka klasycznych cech złośliwego oprogramowania. Nie miał podpisu cyfrowego, nie posiadał znacznika czasu, zawierał zaciemniony kod i wykorzystywał mechanizmy trwałości po restarcie systemu. Dodatkowo analiza wskazała na ciągi znaków kojarzone z kopaniem Monero, co pozwoliło sklasyfikować próbkę jako cryptominer.

Mechanizm działania obejmował kilka etapów. Po uruchomieniu malware dodawał wykluczenie w Microsoft Defender, aby obniżyć szansę lokalnej detekcji. Następnie kopiował się do systemu jako HolaMonitorService.exe, dzięki czemu mógł wyglądać jak legalny komponent serwisowy. Kolejnym krokiem było utworzenie usługi Windows o nazwie hola_monitor_svc, co zapewniało persistence i automatyczne uruchamianie przy starcie systemu.

Istotnym elementem taktyki było również aktywowanie koparki głównie wtedy, gdy komputer pozostawał bezczynny. Taki zabieg ograniczał ryzyko szybkiego zauważenia spadków wydajności przez użytkownika i utrudniał wykrycie anomalii podczas codziennej pracy.

Z punktu widzenia zespołów SOC szczególnie niebezpieczne było połączenie kilku czynników: wykorzystania zaufanego kanału instalacyjnego, nazewnictwa sugerującego legalny moduł oraz manipulacji ustawieniami ochrony endpointu. W środowiskach firmowych taki zestaw technik może znacząco spowolnić triage i analizę incydentu.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem dla użytkownika jest nieautoryzowane zużycie zasobów komputera, w tym procesora, pamięci i energii elektrycznej. W organizacjach przekłada się to na spadek wydajności stacji roboczych, wyższe koszty operacyjne oraz potencjalne skrócenie żywotności sprzętu.

Ryzyko jest jednak znacznie szersze niż samo kopanie kryptowalut. Skuteczna kompromitacja procesu dystrybucyjnego oznacza, że napastnik uzyskał możliwość dostarczania nieautoryzowanego kodu w ramach legalnego produktu. Taki sam wektor mógłby zostać użyty do wdrożenia trojana zdalnego dostępu, stealera danych, loadera ransomware albo narzędzi przygotowujących grunt pod dalszą infiltrację środowiska.

Dodatkowym problemem jest modyfikacja konfiguracji Microsoft Defender przez dodanie wyjątków. Jeśli organizacja nie monitoruje zmian w ustawieniach AV lub EDR i nie koreluje ich z procesem instalacji aplikacji, taka aktywność może pozostać niezauważona przez dłuższy czas.

Nawet jeśli skala incydentu miała dotyczyć ograniczonej liczby użytkowników i nie wskazano dowodów na naruszenie danych, sam fakt naruszenia zaufanego kanału dystrybucji należy traktować jako pełnoprawny incydent supply chain o wysokim znaczeniu operacyjnym.

Rekomendacje

Zarówno organizacje, jak i użytkownicy indywidualni powinni potraktować ten przypadek jako sygnał do przeglądu procedur związanych z walidacją instalowanego oprogramowania oraz monitoringiem zmian zachodzących po instalacji.

  • Zidentyfikować hosty, na których zainstalowano Hola Browser dla Windows.
  • Sprawdzić obecność plików me.exe oraz HolaMonitorService.exe.
  • Zweryfikować, czy w systemie istnieje usługa hola_monitor_svc.
  • Przeanalizować wyjątki w Microsoft Defender pod kątem nieautoryzowanych modyfikacji.
  • Wykonać pełne skanowanie EDR lub AV oraz analizę wskaźników kompromitacji na stacjach, gdzie aplikacja była instalowana lub aktualizowana.
  • W razie wykrycia artefaktów odizolować host, zabezpieczyć próbki i uruchomić procedurę incident response.

Z perspektywy hardeningu warto wdrożyć dodatkowe środki ochronne.

  • Kontrolę aplikacji opartą na allowliście.
  • Monitorowanie tworzenia i modyfikacji usług systemowych.
  • Alertowanie na zmiany w konfiguracji Defendera.
  • Walidację podpisów cyfrowych i sum kontrolnych pakietów instalacyjnych.
  • Dodatkową kontrolę integralności oprogramowania pobieranego spoza centralnych repozytoriów.

Dla producentów oprogramowania incydent stanowi przypomnienie, że bezpieczeństwo pipeline’u CI/CD i procesu release management musi być traktowane jako jeden z kluczowych elementów ochrony produktu.

  • Wzmocnienie ochrony pipeline’u CI/CD.
  • Silny rozdział uprawnień i segmentacja dostępu.
  • Obowiązkowe podpisywanie wszystkich komponentów.
  • Dokładne rejestrowanie zmian w procesie publikacji.
  • Ciągły monitoring anomalii w łańcuchu budowania i dystrybucji.

Podsumowanie

Incydent związany z Hola Browser dla Windows pokazuje, że nawet popularne i legalne aplikacje mogą zostać wykorzystane jako nośnik złośliwego kodu, jeśli dojdzie do kompromitacji łańcucha dostaw. W tym przypadku skutkiem była dystrybucja koparki kryptowalut ukrytej pod nazwą sugerującą legalny komponent systemowy.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: zaufanie do aplikacji nie może kończyć się na etapie pobrania instalatora. Konieczne są stała weryfikacja integralności pakietów, monitorowanie zmian po instalacji oraz szybka analiza wszelkich odchyleń od znanego i zatwierdzonego stanu środowiska.

Źródła

  1. https://www.bleepingcomputer.com/news/security/hola-browser-for-windows-compromised-to-deliver-cryptominer/
  2. https://www.sophos.com/
  3. https://www.appesteem.com/
  4. https://www.sygnia.co/