I primi di giugno i ricercatori di sicurezza informatica hanno scoperto che un versione di Hola Browser for Windows con sede in Israele (versione 1.251.91.0) stava scaricando di nascosto un miner di criptovaluta Monero nei dispositivi degli utenti. Poco dopo la scoperta, Hola ha confermato di essere stata vittima di un attacco alla supply chain. In questo articolo analizzeremo come è andato l’attacco, come funziona il miner di criptovaluta e cosa significa per gli utenti interessati.
Che cos’è Hola Browser e come è stato individuato il malware?
L’azienda israeliana Hola è nota soprattutto per il servizio VPN, a cui gli utenti si affidano principalmente per aggirare le restrizioni geografiche e accedere ai contenuti bloccati nella propria area geografica. Oltre alla VPN, l’azienda sviluppa Hola Browser, un browser basato su Chromium dotato di funzionalità proxy e VPN integrate.
I ricercatori hanno individuato per la prima volta segnali di problemi durante un controllo di conformità standard per il programma AppEsteem Windows Certified Application. Nell’ambito di questo processo di certificazione, società di sicurezza informatica indipendenti controllano il software per garantire che contenga solo i componenti che afferma di avere e sia privo di funzionalità indesiderate o dannose. Anche dopo la concessione di un certificato, le app vengono periodicamente rivalutate per garantire che continuino a soddisfare le rigorose linee guida di AppEsteem.
È stato durante uno di questi controlli di routine che gli esperti hanno notato un file non autorizzato integrato nella versione 1.251.91.0 di Hola Browser per Windows. Una volta installato, il file è stato salvato sul disco rigido in C:\Program Files\Hola\me{.}exe. Il file ha immediatamente sollevato campanelli d’allarme per i ricercatori a causa di una lunga lista di caratteristiche sospette: non era nell’elenco dei file della domanda approvati, non era dotato di timestamp e non aveva firma digitale. Inoltre, il suo codice era palesemente offuscato e possedeva la capacità di iniettarsi direttamente nella memoria di sistema.
È interessante sottolineare che i ricercatori hanno notato che il file non veniva visualizzato in ogni singola installazione. Poiché l’infezione non era diffusa a tutti gli utenti, gli esperti sospettavano subito che una fase specifica della pipeline di distribuzione di Hola Browser fosse stata compromessa. Hola ha successivamente confermato questa teoria, ammettendo di essere stata vittima di un attacco alla supply chain.
Per quanto riguarda il file sospetto me{.}exe stesso, un’analisi più attenta ha rivelato che si trattava di un miner di criptovalute nascosto configurato per eseguire il mining di Monero. Adesso ci addentreremo nei dettagli tecnici del funzionamento.
In che modo gli autori degli attacchi hanno utilizzato Hola Browser per eseguire il mining di Monero?
I miner di criptovalute sono programmi che sfruttano la potenza di elaborazione di un computer per estrarre criptovaluta. Sebbene alcuni utenti installino intenzionalmente questo software per generare entrate, i miner eseguiti su un computer all’insaputa del proprietario sono in genere classificati come indesiderati.
L’esecuzione di un miner nascosto può rallentare notevolmente il dispositivo, aumentare la bolletta dell’elettricità dell’utente e ridurre la durata dell’hardware. Detto questo, vale la pena notare che un’infezione da miner di criptovalute non ruberà effettivamente la criptovaluta del proprietario; il danno è strettamente limitato ai dirottatori che prelevano le risorse hardware del computer per riempirsi le tasche.
Come accennato in precedenza, il download dannoso integrato con Hola Browser ha introdotto di nascosto un miner di criptovaluta Monero nei dispositivi delle vittime. Lanciato nel 2014 e basato sul protocollo CryptoNote, Monero attualmente viene scambiato a circa 330 dollari statunitensi per moneta.
Rispetto a pesi massimi come Bitcoin o Ethereum, Monero è un po’ esotico e meno noto al grande pubblico. Questo status di nicchia si mostra nella crescita dei prezzi relativamente modesta e nella minore capitalizzazione di mercato, che è circa 200 volte inferiore a quella di Bitcoin. Tuttavia, Monero ha una caratteristica distintiva: la privacy. Sebbene Bitcoin ed Ethereum operino su blockchain pubbliche completamente trasparenti, dove chiunque può tracciare le transazioni, Monero è una “moneta della privacy”. Utilizza meccanismi di criptaggio avanzati per mascherare gli importi di mittente, destinatario e transazione. Questo estremo anonimato è esattamente il motivo per cui gli hacker amano i miner Monero nascosti: rende difficile per le forze dell’ordine e i professionisti della sicurezza informatica seguire la scia del denaro.
Inoltre, l’algoritmo sottostante di Monero è esplicitamente progettato per eseguire il mining in modo efficiente utilizzando processori per computer (CPU) standard. Questo è in netto contrasto con molte altre criptovalute popolari, che richiedono hardware ASIC specializzato o schede grafiche (GPU) di fascia alta per essere redditizie.
Ma diamo un’occhiata più da vicino a come è andata a finire con Hola Browser. Quando i ricercatori hanno analizzato il codice dannoso me{.}exe, hanno scoperto che aggiungeva automaticamente i propri file all’elenco di esclusioni Microsoft Defender. Iscrivendosi a sua volta nella lista consentiti, il malware ha bloccato correttamente l’anti-virus integrato di Windows, consentendo al miner di criptovaluta di essere eseguito in background completamente senza ostacoli.
Una volta all’interno, il programma ha creato una copia di se stesso con il nome HolaMonitorService{.}exe e configurato un servizio in background di Windows persistente chiamato hola_monitor_svc. Questa manovra ha consentito al malware di radicarsi nel sistema, avviandosi automaticamente ad ogni riavvio del computer. Per evitare i campanelli d’allarme con improvvisi e massicci cali delle prestazioni, il miner è stato programmato per rimanere inattivo e attivarsi solo quando il computer era inattivo.
Come proteggere il dispositivo da miner di criptovaluta e malware
Il team di sviluppo di Hola ha reagito prontamente alle segnalazioni iniziali del file sospetto. Hanno confermato la violazione della supply chain, ma hanno affermato che l’incidente ha avuto un impatto solo sullo 0,1% della base di utenti. Da allora l’azienda ha rafforzato la protezione attorno alla pipeline di distribuzione degli aggiornamenti per garantire che gli utenti ricevano solo componenti software approvati, certificati e firmati digitalmente.
Alla luce di questo incidente, è consigliabile che tutti gli utenti di Hola Browser eseguano immediatamente l’aggiornamento alla versione più recente, in particolare quelli che eseguono l’applicazione in Windows.
Più in generale, questa situazione è un promemoria da manuale del motivo per cui è così fondamentale tenere aggiornato tutto il software ed eseguire una solida soluzione di sicurezza informatica su tutti i dispositivi. Ad esempio, Kaspersky Premium fornisce avvisi in tempo reale sui comportamenti sospetti del software e blocca le minacce all’istante. Come ulteriore vantaggio, un abbonamento a Kaspersky Premium include una VPN sicura e affidabile.
Non opportuno ricordare che i miner di criptovaluta dannosi non prendono di mira solo i PC; inseguono anche gli smartphone, spesso travestendosi da qualsiasi cosa: dai famosi giochi per dispositivi mobili alle app ufficiali dei servizi governativi. Per ulteriori informazioni, è possibile consultare i post precedenti:
- Un trojan Android si spaccia per servizi statali e app Starlink
- Cosa succede se scarichi un programma craccato?
- L’inconveniente dei miner: in che modo i criminali informatici ricattano gli YouTuber facendogli promuovere il malware
- Mario Forever, anche malware: un gioco gratis che nasconde un miner e qualche Trojan
criptovalute