Versi Windows dari Hola Browser telah disusupi dalam serangan rantai pasokan yang mengirimkan executable yang tidak dideklarasikan yang diidentifikasi oleh para peneliti sebagai penambang mata uang kripto.
Penyusupan ini terungkap selama pemeriksaan sertifikasi berkala pada Hola Browser sebagai bagian dari prosedur pengujian sertifikasi AppEsteem, yang sebelumnya telah dilewati.
Hola adalah perusahaan Israel yang terkenal dengan Hola VPN, sebuah layanan yang memungkinkan pengguna merutekan lalu lintas internet melalui perangkat pengguna lain atau melalui infrastruktur proxy berbayar untuk melewati batasan geografis dan mengakses konten dari berbagai negara.
Hola Browser didasarkan pada Chromium dan mengintegrasikan fungsi VPN dan proxy langsung ke browser.
Perusahaan dan produknya telah menarik kontroversi di masa lalu karena praktik penanganan lalu lintas yang tidak jelas terkait dengan pengoperasian layanan komersial bernama Luminati Networks, yang mengubah pengguna gratis menjadi proxy.
Dalam pemeriksaan integritas aplikasi terbaru, Sophos dan perusahaan keamanan siber lain yang terlibat dalam proses evaluasi menemukan executable yang tidak dideklarasikan bernama ‘me.exe’ yang diinstal dalam beberapa kasus di bawah C:Program FilesHola.
File tersebut belum disertifikasi, tidak memiliki stempel waktu, tidak ditandatangani secara digital, berisi kode yang dikaburkan, dan dapat ditulis ke memori.
Pada pemeriksaan lebih dekat, Sophos menemukan tanda-tanda bahwa biner tersebut adalah penambang mata uang kripto Monero, termasuk string yang menunjukkan sifat aslinya.
Penambang menambahkan aturan pengecualian Windows Defender, menyalin dirinya ke Program Files sebagai ‘HolaMonitorService.exe,’ membuat layanan Windows yang dimulai secara otomatis bernama ‘hola_monitor_svc,’ dan berjalan saat komputer dalam keadaan idle.
Tanggapan halo
Hola diberitahu tentang temuan tersebut oleh AppEsteem dan mengonfirmasi bahwa mereka telah mengalami gangguan rantai pasokan, yang juga terdeteksi secara independen oleh perusahaan keamanan siber Sygnia.
Meskipun demikian, vendor perangkat lunak tersebut mengatakan bahwa hanya sekitar 0,1% penggunanya yang terpengaruh, dan tidak ada bukti adanya akses, pencurian, atau penyusupan data pengguna.
“Kami telah sepenuhnya membangun kembali jalur distribusi kami, menerapkan verifikasi penandatanganan kode tingkat lanjut, dan memperkenalkan kontrol akses yang lebih ketat serta pemantauan berkelanjutan di seluruh infrastruktur kami,” CEO Hola, Avi Raz Cohen meyakinkan.
“Langkah-langkah ini dirancang untuk memastikan bahwa hanya komponen yang dinyatakan, disertifikasi, dan ditandatangani yang dikirimkan kepada pengguna kami.”
BleepingComputer telah menghubungi Hola untuk meminta informasi lebih lanjut tentang bagaimana pelanggaran tersebut terjadi, siapa pelakunya, dan apakah klien di platform lain juga terkena dampaknya, namun kami belum mendapat kabar hingga berita ini diterbitkan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
