Хакеры встроили майнер Monero прямо в установщик браузера Hola для Windows

Установщик браузера Hola для Windows распространялся вместе с легальным дистрибутивом скрытый майнер криптовалюты Monero, попавший на устройства через официальный канал обновлений. Атака на цепочку поставок затронула около 0,1% пользователей сервиса и была обнаружена случайно во время плановой сертификации AppEsteem, а не по жалобам владельцев заражённых машин.

Вредоносный модуль попал на компьютеры жертв вместе с дистрибутивом браузера, который ранее уже успешно проходил аудит безопасности. Аудиторы наткнулись на посторонний файл в каталоге C:Program FilesHola — исполняемый объект с именем me.exe, не упомянутый ни в одной строчке официальной документации разработчика. Никто из участников проверки не ожидал увидеть подобный сюрприз в продукте, уже получавшем сертификат чистоты.

Hola хорошо знакома пользователям как создатель одноимённого VPN-сервиса из Израиля. Компания много лет предлагает обход географических блокировок и доступ к контенту разных регионов, а её инфраструктура частично работает за счёт перенаправления трафика через устройства бесплатных клиентов или через коммерческую прокси-сеть. Сам браузер построен на базе Chromium с встроенным VPN и прокси-механизмами, поэтому отдельные расширения для смены локации устанавливать не требуется.

Репутация компании и раньше вызывала у исследователей много вопросов:

• модель работы коммерческого проекта Luminati Networks, превращавшая бесплатных пользователей в узлы распределённой прокси-сети;
• слабый контроль за тем, чьи запросы проходят через устройства клиентов;
• регулярные споры вокруг прозрачности обработки трафика;
• ограниченная информация о внутренних процедурах безопасности.

Интересно, что обнаруженный файл вёл себя совсем не как обычный компонент браузера — у него отсутствовала цифровая подпись, не было метки времени создания, а внутренний код был намеренно запутан для затруднения анализа.

Специалисты Sophos, работавшие в рамках программы AppEsteem, копнули глубже и выяснили, что me.exe умел записывать данные напрямую в оперативную память — характерный признак вредоносных инструментов современного поколения. Сохранившиеся после обфускации строки кода указывали на майнер Monero. Внутри бинарного объекта обнаружились фрагменты, прямо раскрывающие его настоящее назначение, несмотря на старания авторов скрыть функционал.

Механизм работы майнера выглядел вполне типично для подобных угроз:

• добавление собственного исключения в Windows Defender для снижения шансов обнаружения;
• копирование вредоносного файла в системную директорию Program Files под именем HolaMonitorService.exe;
• создание автозапускаемой службы Windows с названием hola_monitor_svc;
• активация добычи криптовалюты преимущественно в моменты простоя устройства;
• сохранение работоспособности процесса после перезагрузки системы.

Подход с запуском вычислений только во время простоя выбран осознанно — пользователь меньше замечает падение производительности, не открывает диспетчер задач и не задаёт вопросов о странном поведении ноутбука. Майнер старался жить тихо и долго.

Стоит обратить внимание, что параллельно с аудитом AppEsteem собственное расследование инцидента вела компания Sygnia, занимающаяся реагированием на киберинциденты, и её выводы полностью совпали с результатами Sophos.

Руководство Hola признало факт компрометации цепочки поставок после получения уведомления от AppEsteem. По внутренней оценке разработчика, вредоносный компонент добрался примерно до 0,1% пользовательской базы — цифра небольшая в процентах, но абсолютные значения сервис не раскрывает. Представители компании настаивают, что признаков утечки личной информации, кражи учётных данных или получения злоумышленниками доступа к содержимому устройств пока не обнаружено.

Генеральный директор Hola Ави Раз Коэн рассказал о полном пересмотре архитектуры распространения программного обеспечения после расследования. Среди мер, которые компания внедрила в инфраструктуру:

• усиленная проверка цифровых подписей на каждом этапе доставки файлов;
• ограничение доступа к внутренним системам сборки и публикации обновлений;
• постоянный мониторинг компонентов перед отправкой пользователям;
• автоматизированные сценарии сверки контрольных сумм;
• дополнительная процедура верификации при публикации новых сборок.

Подробности самой атаки руководство Hola раскрывать не торопится. Издание BleepingComputer обратилось к компании за разъяснениями о механизме проникновения злоумышленников в процесс распространения, возможной атрибуции операции и затронула ли компрометация платформы помимо Windows. На момент выхода материала ответов от разработчика журналисты не получили.

Раньше уже фиксировались операции, когда хакеры создавали поддельные сайты популярных инструментов безопасности и через рекламный трафик распространяли загрузчики, стилеры и криптоклипперы — команда Check Point Research нашла сеть из более чем ста таких ресурсов, маскирующихся под open source-проекты для анализа вредоносного ПО.

Эксперты редакции CISOCLUB отмечают, что инцидент с Hola показателен сразу по нескольким направлениям. Атаки через каналы доставки обновлений становятся одной из самых выгодных тактик для злоумышленников, потому что доверие пользователя к подписанному установщику работает лучше любого социального инжиниринга. Цифра в 0,1% звучит успокаивающе только до момента, пока не умножишь её на реальный размер базы Hola.

Само обнаружение майнера случайно, в ходе сторонней сертификации, говорит о том, что внутренние процедуры разработчика не сработали — и без AppEsteem пользователи продолжали бы добывать кому-то Monero ещё долго. Любая компания, чей продукт распространяется через автоматические обновления, обязана выстраивать многоуровневую верификацию каждого бинарного объекта перед отправкой клиентам. Без этого даже легитимный VPN-сервис превращается в инструмент монетизации чужих процессоров.