menu_open Columnists
We use cookies to provide some features and experiences in QOSHE

More information  .  Close

Hola Browser verteilt heimlich Monero-Miner nach Supply-Chain-Angriff

14 0
friday

Hola Browser verteilt heimlich Monero-Miner nach Supply-Chain-Angriff

Supply-Chain-Angriff auf den Hola Browser: Windows-Nutzer erhielten beim Update unbemerkt einen Monero-Miner, der sich recht gut getarnt hat.

Ein Zufallsfund beim Hola Browser

Verdächtige Datei mit typischen Miner-Funktionen

Hersteller vom Hola Browser bestätigt Kompromittierung

Unternehmen mit umstrittener Vergangenheit

Supply-Chain-Angriffe bleiben ein wachsendes Risiko

Ein kompromittierter Software-Lieferweg führte dazu, dass einige Nutzer des Hola Browsers für Windows bei der Installation einer neuen Version unbemerkt einen Krypto-Miner installiert bekamen. Sicherheitsforscher von Sophos entdeckten die Schadsoftware während routinemäßiger Zertifizierungsprüfungen.

Ein Zufallsfund beim Hola Browser

Der Vorfall betrifft den Chromium-basierten Hola Browser des israelischen Unternehmens Hola, das vor allem durch seinen VPN-Dienst bekannt wurde. Im Rahmen von AppEsteem-Zertifizierungsprüfungen stießen Experten von Sophos und weiteren Sicherheitsunternehmen auf eine nicht deklarierte Datei namens „me.exe“, die man in einigen Fällen im Installationsverzeichnis des Browsers abgelegt hat.

Verdächtige Datei mit typischen Miner-Funktionen

Die Datei fiel gleich durch mehrere Auffälligkeiten auf: Sie war weder digital signiert noch mit einem Zeitstempel versehen, enthielt verschleierten Code und verfügte über Funktionen zum Schreiben in den Arbeitsspeicher. Eine nähere Analyse durch Sophos für AppEsteem ergab deutliche Hinweise auf einen Monero-Krypto-Miner.

Demnach fügte die Schadsoftware Ausnahmen für Microsoft Defender hinzu, kopierte sich als „HolaMonitorService.exe“ in das Verzeichnis „Program Files“ und richtete einen automatisch startenden Windows-Dienst mit dem Namen „hola_monitor_svc“ ein. Der Miner schürft die Kryptowährung Monero nach Angaben der Forscher, sofern der Rechner nichts anderes zu tun hat.

Hersteller vom Hola Browser bestätigt Kompromittierung

Nachdem man den Hersteller informiert hatte, bestätigte Hola den Sicherheitsvorfall. Auch das Cybersicherheitsunternehmen Sygnia will die Kompromittierung unabhängig von Sophos festgestellt........

© Tarnkappe