{"id":25147,"date":"2026-07-02T09:00:44","date_gmt":"2026-07-02T12:00:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=25147"},"modified":"2026-06-29T13:50:29","modified_gmt":"2026-06-29T16:50:29","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hola-browser-supply-chain-attack-cryptominer\/25147\/","title":{"rendered":"Hackers sequestram o navegador Hola visando a minera\u00e7\u00e3o secreta de criptomoedas"},"content":{"rendered":"<p>No in\u00edcio de junho, pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram que uma vers\u00e3o do navegador Hola para Windows, desenvolvido em Israel (1.251.91.0), <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hola-browser-for-windows-compromised-to-deliver-cryptominer\/\" target=\"_blank\" rel=\"noopener nofollow\">baixava<\/a> um minerador da criptomoeda Monero nos dispositivos dos usu\u00e1rios sem que eles soubessem. Logo ap\u00f3s a descoberta, a Hola confirmou que havia sido v\u00edtima de um ataque \u00e0 cadeia de suprimentos. Neste artigo, contamos como o ataque ocorreu, como funciona o minerador e o que isso significa para os usu\u00e1rios afetados.<\/p>\n<h2>O que \u00e9 o navegador Hola e como o malware foi descoberto?<\/h2>\n<p>A empresa israelense Hola \u00e9 mais conhecida por sua VPN, usada por usu\u00e1rios para contornar restri\u00e7\u00f5es geogr\u00e1ficas e acessar conte\u00fado bloqueado em determinadas regi\u00f5es. Al\u00e9m da VPN, a empresa desenvolveu o navegador Hola, que \u00e9 baseado em Chromium e traz uma VPN integrada, al\u00e9m de recursos de proxy.<\/p>\n<p>Os primeiros sinais de problemas foram detectados pelos pesquisadores durante uma verifica\u00e7\u00e3o de conformidade padr\u00e3o para o programa <a href=\"https:\/\/appesteem.com\" target=\"_blank\" rel=\"noopener nofollow\">AppEsteem Windows Certified Application<\/a>. Como parte da certifica\u00e7\u00e3o, empresas independentes de seguran\u00e7a cibern\u00e9tica auditam os softwares para garantir que contenham apenas os componentes declarados, sem recursos indesejados ou maliciosos. Mesmo ap\u00f3s receberem um certificado, os aplicativos s\u00e3o reavaliados regularmente para garantir que continuem atendendo \u00e0s r\u00edgidas diretrizes da AppEsteem.<\/p>\n<p>Foi durante uma verifica\u00e7\u00e3o de acompanhamento de rotina que os especialistas notaram um arquivo n\u00e3o autorizado agrupado \u00e0 vers\u00e3o <strong><em>1.251.91.0<\/em><\/strong> do navegador Hola para Windows. Ap\u00f3s a instala\u00e7\u00e3o, o arquivo era salvo automaticamente no disco r\u00edgido em <strong><em>C:\\Program Files\\Hola\\me{.}exe<\/em><\/strong>. Os pesquisadores logo consideraram o arquivo n\u00e3o confi\u00e1vel por v\u00e1rios ind\u00edcios suspeitos: ele n\u00e3o constava na lista de arquivos de aplicativos aprovados, n\u00e3o tinha carimbo de data\/hora nem assinatura digital. Al\u00e9m disso, o c\u00f3digo estava bastante ofuscado, sendo capaz de se injetar diretamente na mem\u00f3ria do sistema.<\/p>\n<p>Por\u00e9m, os pesquisadores notaram que o arquivo n\u00e3o estava presente em todas as instala\u00e7\u00f5es. Como a infec\u00e7\u00e3o n\u00e3o atingiu todos os usu\u00e1rios, os especialistas logo suspeitaram que uma etapa espec\u00edfica do pipeline de distribui\u00e7\u00e3o do navegador Hola havia sido comprometida. A Hola acabou confirmando essa teoria, admitindo que foi v\u00edtima de um ataque \u00e0 cadeia de suprimentos.<\/p>\n<p>Quanto ao pr\u00f3prio arquivo <strong><em>me{.}exe<\/em><\/strong> suspeito, uma an\u00e1lise mais detalhada revelou que se tratava de um minerador de criptomoedas furtivo configurado para minerar Monero. Vamos agora analisar os detalhes t\u00e9cnicos de como tudo aconteceu.<\/p>\n<h2>Como os invasores usaram o navegador Hola para minerar o Monero?<\/h2>\n<p>Os mineradores de criptomoedas s\u00e3o programas que aproveitam o poder de processamento de um computador para minerar criptomoedas. Embora alguns usu\u00e1rios instalem esses softwares voluntariamente, mineradores executados em uma m\u00e1quina sem o conhecimento do propriet\u00e1rio s\u00e3o considerados indesejados.<\/p>\n<p>A execu\u00e7\u00e3o de um minerador oculto pode deixar um dispositivo muito mais lento, aumentar a conta de eletricidade do usu\u00e1rio e reduzir a vida \u00fatil do hardware. Dito isto, vale notar que a infec\u00e7\u00e3o de um dispositivo por um minerador n\u00e3o significa que as criptomoedas do propriet\u00e1rio ser\u00e3o roubadas; o dano limita-se ao consumo dos recursos de hardware, utilizados pelos invasores para obter ganho financeiro.<\/p>\n<p>Conforme mencionado acima, o download malicioso inclu\u00eddo no navegador Hola inseriu um minerador da criptomoeda <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Monero\" target=\"_blank\" rel=\"noopener nofollow\">Monero<\/a> nos dispositivos das v\u00edtimas. Lan\u00e7ado em 2014 e baseado no protocolo CryptoNote, o Monero atualmente \u00e9 negociado a <a href=\"https:\/\/coinmarketcap.com\/currencies\/monero\/\" target=\"_blank\" rel=\"noopener nofollow\">cerca de US$ 330 por unidade.<\/a><\/p>\n<p>Comparado a moedas mais conhecidas, como Bitcoin ou Ethereum, o Monero \u00e9 mais ex\u00f3tico e menos conhecido pelo p\u00fablico geral. Esse status de nicho reflete-se no aumento relativamente modesto do seu pre\u00e7o e em uma menor capitaliza\u00e7\u00e3o de mercado, sendo quase 200 vezes menor que a do Bitcoin. No entanto, o Monero tem um benef\u00edcio que o destaca: a privacidade. Enquanto o Bitcoin e o Ethereum operam em blockchains p\u00fablicas e transparentes, onde qualquer pessoa pode rastrear as transa\u00e7\u00f5es, o Monero \u00e9 uma \u201cmoeda de privacidade\u201d. Ele usa mecanismos criptogr\u00e1ficos avan\u00e7ados para ocultar o remetente, o destinat\u00e1rio e o valor da transa\u00e7\u00e3o. Esse anonimato extremo \u00e9 exatamente o motivo pelo qual os hackers <a href=\"https:\/\/www.kaspersky.com.br\/blog\/?s=Monero\/\" target=\"_blank\" rel=\"noopener\">preferem os mineradores ocultos de Monero<\/a>, pois eles dificultam o rastreamento das transa\u00e7\u00f5es por autoridades e profissionais de seguran\u00e7a cibern\u00e9tica.<\/p>\n<p>Al\u00e9m disso, o algoritmo do Monero foi projetado para usar CPUs padr\u00e3o de forma eficiente na minera\u00e7\u00e3o. Isso contrasta fortemente com muitas outras criptomoedas populares, que exigem hardware ASIC especializado ou GPUs de ponta para gerar lucro.<\/p>\n<p>Mas vamos analisar melhor o caso do navegador Hola. Ao analisar o c\u00f3digo <strong><em>me{.}exe<\/em><\/strong> malicioso, os pesquisadores descobriram que ele estava adicionando automaticamente seus pr\u00f3prios arquivos \u00e0 lista de exclus\u00e3o do Microsoft Defender. Ao entrar na lista de permiss\u00f5es, o malware contornou o antiv\u00edrus do Windows, permitindo a execu\u00e7\u00e3o do minerador de criptomoedas em segundo plano sem qualquer impedimento.<\/p>\n<p>Ent\u00e3o, o programa fez uma c\u00f3pia de si mesmo sob o nome <strong><em>HolaMonitorService{.}exe<\/em><\/strong> e configurou um servi\u00e7o persistente do Windows em segundo plano chamado <strong><em>hola_monitor_svc<\/em><\/strong>. Essa manobra permitiu que o malware se instalasse no sistema, sendo iniciado automaticamente sempre que o computador era reiniciado. Para evitar suspeitas por quedas de desempenho, o minerador permanecia inativo e era acionado apenas quando o computador estava ocioso.<\/p>\n<h2>Como proteger seu dispositivo contra mineradores de criptomoedas e malware<\/h2>\n<p>Felizmente, a equipe de desenvolvedores da Hola agiu r\u00e1pido ap\u00f3s a detec\u00e7\u00e3o do arquivo suspeito. Eles confirmaram a viola\u00e7\u00e3o da cadeia de suprimentos, mas afirmaram que apenas 0,1% dos usu\u00e1rios foram afetados. Desde ent\u00e3o, a empresa refor\u00e7ou a seguran\u00e7a em torno do pipeline de distribui\u00e7\u00e3o de atualiza\u00e7\u00f5es para garantir que os usu\u00e1rios recebam apenas componentes de software aprovados, certificados e contendo assinatura digital no futuro.<\/p>\n<p>Devido a esse incidente, recomendamos que todos os usu\u00e1rios do navegador Hola o atualizem para a vers\u00e3o mais recente, especialmente aqueles que executam o aplicativo no Windows.<\/p>\n<p>Essa situa\u00e7\u00e3o \u00e9 um exemplo cl\u00e1ssico de por que \u00e9 t\u00e3o importante manter todos softwares atualizados e executar uma <a href=\"https:\/\/www.kaspersky.com.br\/home-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">Home Security<\/a> solu\u00e7\u00e3o robusta de seguran\u00e7a cibern\u00e9tica em todos os seus gadgets. Por exemplo, o <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> fornece alertas em tempo real sobre comportamento suspeito de software e faz o bloqueio instant\u00e2neo de amea\u00e7as. Como um b\u00f4nus adicional, a assinatura do <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> inclui uma <a href=\"https:\/\/www.kaspersky.com.br\/vpn-secure-connection?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____vpn___\" target=\"_blank\" rel=\"noopener\">VPN segura e confi\u00e1vel<\/a>.<\/p>\n<blockquote><p>Lembre-se de que mineradores maliciosos de criptomoedas tamb\u00e9m atacam smartphones, disfar\u00e7ando-se muitas vezes de jogos populares e at\u00e9 de aplicativos oficiais de servi\u00e7os governamentais. Confira nossas postagens anteriores para saber mais:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/24810\/\" target=\"_blank\" rel=\"noopener\"><strong>O trojan para Android que simula servi\u00e7os governamentais e aplicativos da Starlink<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/what-happens-if-you-download-cracked-program\/23582\/\" target=\"_blank\" rel=\"noopener\"><strong>O que acontece se voc\u00ea baixar um programa crackeado?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/miner-disguised-as-circumvention-tools\/53118\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Inconveni\u00eancia do minerador: como cibercriminosos chantageiam YouTubers para promoverem malware<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com.br\/blog\/mario-forever-malware-too\/21479\/\" target=\"_blank\" rel=\"noopener\"><strong>Malware no jogo gratuito Super Mario 3: Mario Forever<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>Devido a um ataque \u00e0 cadeia de suprimentos, alguns usu\u00e1rios do Windows baixaram, sem saber, um minerador da criptomoeda Monero ao fazer a instala\u00e7\u00e3o do navegador Hola. <\/p>\n","protected":false},"author":2726,"featured_media":25148,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[3424,1935,3175,1288,1552,1581,1448,306,230],"class_list":{"0":"post-25147","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ataque-a-cadeia-de-suprimentos","9":"tag-cadeia-de-suprimentos","10":"tag-cavalos-de-troia","11":"tag-criptomoedas","12":"tag-mineradores","13":"tag-monero","14":"tag-navegadores","15":"tag-vpn","16":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hola-browser-supply-chain-attack-cryptominer\/25147\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hola-browser-supply-chain-attack-cryptominer\/30837\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/25877\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hola-browser-supply-chain-attack-cryptominer\/30679\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hola-browser-supply-chain-attack-cryptominer\/42102\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/55999\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hola-browser-supply-chain-attack-cryptominer\/30787\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hola-browser-supply-chain-attack-cryptominer\/36347\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hola-browser-supply-chain-attack-cryptominer\/36237\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/criptomoedas\/","name":"criptomoedas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=25147"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25147\/revisions"}],"predecessor-version":[{"id":25150,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25147\/revisions\/25150"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/25148"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=25147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=25147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=25147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}