Een recente aanval heeft de Windows-versie van de Hola Browser getroffen, waarbij een nieuwe uitvoerbare cryptominer zonder aankondiging werd geïnstalleerd.

Bij routinecontroles voor de certificering van Hola Browser onthulden onderzoekers een compromis. Dit gebeurde tijdens AppEsteem-certificering, die de browser eerder zonder problemen had gehaald.

Hola, een Israëlisch bedrijf dat vooral bekend is vanwege Hola VPN, biedt gebruikers de mogelijkheid internetverkeer via andermans apparaten of betaalde proxies te laten lopen, om zo toegang tot internationaal geblokkeerde content mogelijk te maken.

Hola Browser, gebouwd op Chromium, heeft VPN- en proxy-functies direct geïntegreerd.

Het bedrijf heeft in het verleden kritiek gekregen vanwege niet-transparante werkwijzen, vooral gerelateerd aan Luminati Networks, dat gratis gebruikers als proxies inzette.

Tijdens de laatste integriteitscontroles ontdekten Sophos en andere cybersecurity-bedrijven een ongedocumenteerd bestand genaamd ‘me.exe’ dat in sommige gevallen onder C:Program FilesHola werd geïnstalleerd.

Het bestand had geen certificaat, tijdstempel of digitale handtekening, en bevatte versluierde code die naar het geheugen kon schrijven.

Nader onderzoek door Sophos wees uit dat de software een Monero-cryptominer was, herkenbaar aan specifieke kenmerken.

De miner voegde een uitsluitingsregel toe aan Windows Defender, kopieerde zichzelf onder ‘HolaMonitorService.exe’ in de Program Files, creëerde een automatisch startende Windows-service genaamd ‘hola_monitor_svc’ en draaide wanneer de computer inactief was.

### Reactie van Hola

Hola werd door AppEsteem op de hoogte gebracht en bevestigde dat er sprake was van een supply chain-compromis, iets dat ook onafhankelijk door het cybersecuritybedrijf Sygnia was ontdekt.

Volgens Hola was slechts 0,1% van de gebruikers getroffen, zonder aanwijzingen voor toegang tot, of diefstal van gebruikersgegevens.

Avi Raz Cohen, CEO van Hola, verzekert dat ze inmiddels hun distributieproces volledig hebben herbouwd, geavanceerde codesigning-verificatie hebben ingevoerd, en strengere toegangscontroles en voortdurende monitoring hebben geïmplementeerd.

Deze maatregelen moeten ervoor zorgen dat enkel verklaarde, gecertificeerde en ondertekende componenten aan gebruikers geleverd worden.

BleepingComputer heeft Hola om meer informatie gevraagd over hoe de inbreuk heeft kunnen plaatsvinden en wie de daders zijn, evenals over de impact op andere platformen. Op het moment van publicatie was er nog geen reactie ontvangen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.