Supply-Chain-Angriff auf den Hola Browser: Windows-Nutzer erhielten beim Update unbemerkt einen Monero-Miner, der sich recht gut getarnt hat.
Ein kompromittierter Software-Lieferweg führte dazu, dass einige Nutzer des Hola Browsers für Windows bei der Installation einer neuen Version unbemerkt einen Krypto-Miner installiert bekamen. Sicherheitsforscher von Sophos entdeckten die Schadsoftware während routinemäßiger Zertifizierungsprüfungen.
Ein Zufallsfund beim Hola Browser
Der Vorfall betrifft den Chromium-basierten Hola Browser des israelischen Unternehmens Hola, das vor allem durch seinen VPN-Dienst bekannt wurde. Im Rahmen von AppEsteem-Zertifizierungsprüfungen stießen Experten von Sophos und weiteren Sicherheitsunternehmen auf eine nicht deklarierte Datei namens „me.exe“, die man in einigen Fällen im Installationsverzeichnis des Browsers abgelegt hat.
Verdächtige Datei mit typischen Miner-Funktionen
Die Datei fiel gleich durch mehrere Auffälligkeiten auf: Sie war weder digital signiert noch mit einem Zeitstempel versehen, enthielt verschleierten Code und verfügte über Funktionen zum Schreiben in den Arbeitsspeicher. Eine nähere Analyse durch Sophos für AppEsteem ergab deutliche Hinweise auf einen Monero-Krypto-Miner.
Demnach fügte die Schadsoftware Ausnahmen für Microsoft Defender hinzu, kopierte sich als „HolaMonitorService.exe“ in das Verzeichnis „Program Files“ und richtete einen automatisch startenden Windows-Dienst mit dem Namen „hola_monitor_svc“ ein. Der Miner schürft die Kryptowährung Monero nach Angaben der Forscher, sofern der Rechner nichts anderes zu tun hat.
Hersteller vom Hola Browser bestätigt Kompromittierung
Nachdem man den Hersteller informiert hatte, bestätigte Hola den Sicherheitsvorfall. Auch das Cybersicherheitsunternehmen Sygnia will die Kompromittierung unabhängig von Sophos festgestellt haben.
Hola spielt den Vorfall herunter. Nach offiziellen Angaben seien (angeblich) nur rund 0,1 Prozent der Nutzer betroffen gewesen. Hätte niemand eher zufällig die Schadsoftware entdeckt, würde man allerdings weiterhin die mit dem Miner verseuchte Version als Update zum Download anbieten.
Hinweise auf Datendiebstahl oder den Zugriff auf persönliche Informationen soll es bisher nicht geben. Hola gab bekannt, man habe nach Bekanntwerden des Vorfalls die „gesamte Distributionspipeline neu aufgebaut, zusätzliche Prüfungen für Code-Signaturen eingeführt und die Zugriffskontrollen sowie die kontinuierliche Überwachung unserer Infrastruktur deutlich verschärft“. Dies erklärte auf Anfrage der Geschäftsführer Avi Raz Cohen.
Unternehmen mit umstrittener Vergangenheit
Hola sorgte bereits in der Vergangenheit für Kritik. Das Unternehmen betrieb mit Luminati Networks einen Dienst, bei dem kostenlose Nutzer teilweise als Proxy-Knoten für zahlende Kunden dienten. Datenschützer und Sicherheitsexperten bemängelten damals die mangelnde Transparenz bei der Verarbeitung des Datenverkehrs.
Wie genau die Angreifer die Software-Lieferkette kompromittieren konnten und wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch ob andere Plattformen neben Windows betroffen waren, hat Hola bislang nicht beantwortet. Der Hola Browser beinhaltet VPN- und Proxy-Funktionen. Es gibt ihn aktuell für Windows 10 und 11, macOS ab Version 10.13 und Android nebst iOS. Dazu kommen diverse Browser-Erweiterungen für Chrome, Microsoft Edge und Opera unter Windows und aktuelle macOS-Versionen. Doch auch die Extensions von Hola waren schon vor einigen Jahren im Fokus der Kritik.
Supply-Chain-Angriffe bleiben ein wachsendes Risiko
Der Vorfall zeigt erneut, wie gefährlich Angriffe auf Software-Lieferketten sind. Statt einzelne Systeme direkt anzugreifen, kompromittieren Kriminelle dabei die Verteilungswege vertrauenswürdiger Software. Nutzer installieren die Schadsoftware anschließend unbewusst über reguläre Updates oder offizielle Installationspakete. Eine nachgemachte Website kam bei diesem Angriff nicht zum Einsatz.
Wer den Hola Browser unter Windows verwendet, sollte sicherstellen, dass die aktuellste Version installiert ist und das System mit einer aktuellen Sicherheitslösung überprüfen. Die Kollegen von Bleeping Computer haben neben Sophos auch um eine Antwort auf ihre Presseanfrage gebeten. Der israelische Anbieter hat darauf aber bis dato nicht reagiert.
