La version Windows du navigateur Hola Browser a été la cible d’une attaque par la chaîne d’approvisionnement. Ce piratage a conduit à la distribution d’un fichier exécutable non déclaré, que des chercheurs ont identifié comme un programme de minage de cryptomonnaie.
La faille a été découverte lors de contrôles de certification périodiques du navigateur, dans le cadre de son processus de validation par AppEsteem. Le logiciel avait pourtant réussi cette certification auparavant.
La société Hola, basée en Israël, est principalement connue pour son service Hola VPN. Ce service permet aux internautes de faire passer leur trafic par les appareils d’autres utilisateurs ou par une infrastructure proxy payante. L’objectif est de contourner les restrictions géographiques et d’accéder à des contenus d’autres pays.
Hola Browser est construit sur le moteur Chromium. Il intègre directement les fonctionnalités de VPN et de proxy dans le navigateur.
Lors des dernières vérifications d’intégrité du logiciel, des sociétés de cybersécurité, dont Sophos, ont trouvé un exécutable nommé ‘me.exe’. Ce fichier était parfois installé dans le répertoire C:\Program Files\Hola\.
Cet exécutable n’était pas certifié. Il ne possédait pas d’horodatage, n’était pas signé numériquement, contenait du code obfusqué et pouvait écrire dans la mémoire de l’ordinateur.
Après une analyse plus poussée, Sophos a repéré des chaînes de caractères qui indiquaient la vraie nature du binaire : un mineur de Monero, une cryptomonnaie.
Le programme malveillant ajoute une règle d’exclusion pour Windows Defender. Il se copie ensuite dans le dossier Program Files sous le nom ‘HolaMonitorService.exe’, crée un service Windows à démarrage automatique nommé ‘hola_monitor_svc’, et s’exécute lorsque l’ordinateur est inactif.
La réaction de Hola
Hola a été informée des conclusions d’AppEsteem. La société a confirmé qu’elle avait subi une compromission de sa chaîne d’approvisionnement. Cette attaque a aussi été détectée de manière indépendante par la firme de cybersécurité Sygnia.
L’éditeur du logiciel affirme que seulement 0,1% de ses utilisateurs ont été touchés. Il déclare qu’aucune preuve d’accès, de vol ou de compromission des données utilisateurs n’a été trouvée.
« Nous avons depuis entièrement reconstruit notre pipeline de distribution, mis en œuvre une vérification avancée de la signature du code, et introduit des contrôles d’accès renforcés ainsi qu’une surveillance continue sur toute notre infrastructure », a assuré le PDG de Hola, Avi Raz Cohen.
« Ces mesures sont conçues pour garantir que seuls des composants déclarés, certifiés et signés sont jamais livrés à nos utilisateurs. »