No início de junho, pesquisadores de segurança cibernética descobriram que uma versão do navegador Hola para Windows, desenvolvido em Israel (1.251.91.0), baixava um minerador da criptomoeda Monero nos dispositivos dos usuários sem que eles soubessem. Logo após a descoberta, a Hola confirmou que havia sido vítima de um ataque à cadeia de suprimentos. Neste artigo, contamos como o ataque ocorreu, como funciona o minerador e o que isso significa para os usuários afetados.
O que é o navegador Hola e como o malware foi descoberto?
A empresa israelense Hola é mais conhecida por sua VPN, usada por usuários para contornar restrições geográficas e acessar conteúdo bloqueado em determinadas regiões. Além da VPN, a empresa desenvolveu o navegador Hola, que é baseado em Chromium e traz uma VPN integrada, além de recursos de proxy.
Os primeiros sinais de problemas foram detectados pelos pesquisadores durante uma verificação de conformidade padrão para o programa AppEsteem Windows Certified Application. Como parte da certificação, empresas independentes de segurança cibernética auditam os softwares para garantir que contenham apenas os componentes declarados, sem recursos indesejados ou maliciosos. Mesmo após receberem um certificado, os aplicativos são reavaliados regularmente para garantir que continuem atendendo às rígidas diretrizes da AppEsteem.
Foi durante uma verificação de acompanhamento de rotina que os especialistas notaram um arquivo não autorizado agrupado à versão 1.251.91.0 do navegador Hola para Windows. Após a instalação, o arquivo era salvo automaticamente no disco rígido em C:\Program Files\Hola\me{.}exe. Os pesquisadores logo consideraram o arquivo não confiável por vários indícios suspeitos: ele não constava na lista de arquivos de aplicativos aprovados, não tinha carimbo de data/hora nem assinatura digital. Além disso, o código estava bastante ofuscado, sendo capaz de se injetar diretamente na memória do sistema.
Porém, os pesquisadores notaram que o arquivo não estava presente em todas as instalações. Como a infecção não atingiu todos os usuários, os especialistas logo suspeitaram que uma etapa específica do pipeline de distribuição do navegador Hola havia sido comprometida. A Hola acabou confirmando essa teoria, admitindo que foi vítima de um ataque à cadeia de suprimentos.
Quanto ao próprio arquivo me{.}exe suspeito, uma análise mais detalhada revelou que se tratava de um minerador de criptomoedas furtivo configurado para minerar Monero. Vamos agora analisar os detalhes técnicos de como tudo aconteceu.
Como os invasores usaram o navegador Hola para minerar o Monero?
Os mineradores de criptomoedas são programas que aproveitam o poder de processamento de um computador para minerar criptomoedas. Embora alguns usuários instalem esses softwares voluntariamente, mineradores executados em uma máquina sem o conhecimento do proprietário são considerados indesejados.
A execução de um minerador oculto pode deixar um dispositivo muito mais lento, aumentar a conta de eletricidade do usuário e reduzir a vida útil do hardware. Dito isto, vale notar que a infecção de um dispositivo por um minerador não significa que as criptomoedas do proprietário serão roubadas; o dano limita-se ao consumo dos recursos de hardware, utilizados pelos invasores para obter ganho financeiro.
Conforme mencionado acima, o download malicioso incluído no navegador Hola inseriu um minerador da criptomoeda Monero nos dispositivos das vítimas. Lançado em 2014 e baseado no protocolo CryptoNote, o Monero atualmente é negociado a cerca de US$ 330 por unidade.
Comparado a moedas mais conhecidas, como Bitcoin ou Ethereum, o Monero é mais exótico e menos conhecido pelo público geral. Esse status de nicho reflete-se no aumento relativamente modesto do seu preço e em uma menor capitalização de mercado, sendo quase 200 vezes menor que a do Bitcoin. No entanto, o Monero tem um benefício que o destaca: a privacidade. Enquanto o Bitcoin e o Ethereum operam em blockchains públicas e transparentes, onde qualquer pessoa pode rastrear as transações, o Monero é uma “moeda de privacidade”. Ele usa mecanismos criptográficos avançados para ocultar o remetente, o destinatário e o valor da transação. Esse anonimato extremo é exatamente o motivo pelo qual os hackers preferem os mineradores ocultos de Monero, pois eles dificultam o rastreamento das transações por autoridades e profissionais de segurança cibernética.
Além disso, o algoritmo do Monero foi projetado para usar CPUs padrão de forma eficiente na mineração. Isso contrasta fortemente com muitas outras criptomoedas populares, que exigem hardware ASIC especializado ou GPUs de ponta para gerar lucro.
Mas vamos analisar melhor o caso do navegador Hola. Ao analisar o código me{.}exe malicioso, os pesquisadores descobriram que ele estava adicionando automaticamente seus próprios arquivos à lista de exclusão do Microsoft Defender. Ao entrar na lista de permissões, o malware contornou o antivírus do Windows, permitindo a execução do minerador de criptomoedas em segundo plano sem qualquer impedimento.
Então, o programa fez uma cópia de si mesmo sob o nome HolaMonitorService{.}exe e configurou um serviço persistente do Windows em segundo plano chamado hola_monitor_svc. Essa manobra permitiu que o malware se instalasse no sistema, sendo iniciado automaticamente sempre que o computador era reiniciado. Para evitar suspeitas por quedas de desempenho, o minerador permanecia inativo e era acionado apenas quando o computador estava ocioso.
Como proteger seu dispositivo contra mineradores de criptomoedas e malware
Felizmente, a equipe de desenvolvedores da Hola agiu rápido após a detecção do arquivo suspeito. Eles confirmaram a violação da cadeia de suprimentos, mas afirmaram que apenas 0,1% dos usuários foram afetados. Desde então, a empresa reforçou a segurança em torno do pipeline de distribuição de atualizações para garantir que os usuários recebam apenas componentes de software aprovados, certificados e contendo assinatura digital no futuro.
Devido a esse incidente, recomendamos que todos os usuários do navegador Hola o atualizem para a versão mais recente, especialmente aqueles que executam o aplicativo no Windows.
Essa situação é um exemplo clássico de por que é tão importante manter todos softwares atualizados e executar uma Home Security solução robusta de segurança cibernética em todos os seus gadgets. Por exemplo, o Kaspersky Premium fornece alertas em tempo real sobre comportamento suspeito de software e faz o bloqueio instantâneo de ameaças. Como um bônus adicional, a assinatura do Kaspersky Premium inclui uma VPN segura e confiável.
Lembre-se de que mineradores maliciosos de criptomoedas também atacam smartphones, disfarçando-se muitas vezes de jogos populares e até de aplicativos oficiais de serviços governamentais. Confira nossas postagens anteriores para saber mais:
criptomoedas
Dicas