{"id":30830,"date":"2026-07-03T10:00:32","date_gmt":"2026-07-03T08:00:32","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30830"},"modified":"2026-07-02T16:33:03","modified_gmt":"2026-07-02T14:33:03","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/hola-browser-supply-chain-attack-cryptominer\/30830\/","title":{"rendered":"Gli hacker hanno dirottato Hola Browser per ottenere mining di criptovaluta segreto"},"content":{"rendered":"<p>I primi di giugno i ricercatori di sicurezza informatica hanno scoperto che un versione di Hola Browser for Windows con sede in Israele (versione 1.251.91.0) stava <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hola-browser-for-windows-compromised-to-deliver-cryptominer\/\" target=\"_blank\" rel=\"noopener nofollow\">scaricando<\/a> di nascosto un miner di criptovaluta Monero nei dispositivi degli utenti. Poco dopo la scoperta, Hola ha confermato di essere stata vittima di un attacco alla supply chain. In questo articolo analizzeremo come \u00e8 andato l\u2019attacco, come funziona il miner di criptovaluta e cosa significa per gli utenti interessati.<\/p>\n<h2>Che cos\u2019\u00e8 Hola Browser e come \u00e8 stato individuato il malware?<\/h2>\n<p>L\u2019azienda israeliana Hola \u00e8 nota soprattutto per il servizio VPN, a cui gli utenti si affidano principalmente per aggirare le restrizioni geografiche e accedere ai contenuti bloccati nella propria area geografica. Oltre alla VPN, l\u2019azienda sviluppa Hola Browser, un browser basato su Chromium dotato di funzionalit\u00e0 proxy e VPN integrate.<\/p>\n<p>I ricercatori hanno individuato per la prima volta segnali di problemi durante un controllo di conformit\u00e0 standard per il programma <a href=\"https:\/\/appesteem.com\" target=\"_blank\" rel=\"noopener nofollow\">AppEsteem Windows Certified Application<\/a>. Nell\u2019ambito di questo processo di certificazione, societ\u00e0 di sicurezza informatica indipendenti controllano il software per garantire che contenga solo i componenti che afferma di avere e sia privo di funzionalit\u00e0 indesiderate o dannose. Anche dopo la concessione di un certificato, le app vengono periodicamente rivalutate per garantire che continuino a soddisfare le rigorose linee guida di AppEsteem.<\/p>\n<p>\u00c8 stato durante uno di questi controlli di routine che gli esperti hanno notato un file non autorizzato integrato nella versione <strong><em>1.251.91.0<\/em><\/strong> di Hola Browser per Windows. Una volta installato, il file \u00e8 stato salvato sul disco rigido in <strong><em>C:\\Program Files\\Hola\\me{.}exe<\/em><\/strong>. Il file ha immediatamente sollevato campanelli d\u2019allarme per i ricercatori a causa di una lunga lista di caratteristiche sospette: non era nell\u2019elenco dei file della domanda approvati, non era dotato di timestamp e non aveva firma digitale. Inoltre, il suo codice era palesemente offuscato e possedeva la capacit\u00e0 di iniettarsi direttamente nella memoria di sistema.<\/p>\n<p>\u00c8 interessante sottolineare che i ricercatori hanno notato che il file non veniva visualizzato in ogni singola installazione. Poich\u00e9 l\u2019infezione non era diffusa a tutti gli utenti, gli esperti sospettavano subito che una fase specifica della pipeline di distribuzione di Hola Browser fosse stata compromessa. Hola ha successivamente confermato questa teoria, ammettendo di essere stata vittima di un attacco alla supply chain.<\/p>\n<p>Per quanto riguarda il file sospetto <strong><em>me{.}exe<\/em><\/strong> stesso, un\u2019analisi pi\u00f9 attenta ha rivelato che si trattava di un miner di criptovalute nascosto configurato per eseguire il mining di Monero. Adesso ci addentreremo nei dettagli tecnici del funzionamento.<\/p>\n<h2>In che modo gli autori degli attacchi hanno utilizzato Hola Browser per eseguire il mining di Monero?<\/h2>\n<p>I miner di criptovalute sono programmi che sfruttano la potenza di elaborazione di un computer per estrarre criptovaluta. Sebbene alcuni utenti installino intenzionalmente questo software per generare entrate, i miner eseguiti su un computer all\u2019insaputa del proprietario sono in genere classificati come indesiderati.<\/p>\n<p>L\u2019esecuzione di un miner nascosto pu\u00f2 rallentare notevolmente il dispositivo, aumentare la bolletta dell\u2019elettricit\u00e0 dell\u2019utente e ridurre la durata dell\u2019hardware. Detto questo, vale la pena notare che un\u2019infezione da miner di criptovalute non ruber\u00e0 effettivamente la criptovaluta del proprietario; il danno \u00e8 strettamente limitato ai dirottatori che prelevano le risorse hardware del computer per riempirsi le tasche.<\/p>\n<p>Come accennato in precedenza, il download dannoso integrato con Hola Browser ha introdotto di nascosto un miner di criptovaluta <a href=\"https:\/\/it.wikipedia.org\/wiki\/Monero\" target=\"_blank\" rel=\"noopener nofollow\">Monero<\/a> nei dispositivi delle vittime. Lanciato nel 2014 e basato sul protocollo CryptoNote, Monero attualmente viene scambiato a <a href=\"https:\/\/coinmarketcap.com\/currencies\/monero\/\" target=\"_blank\" rel=\"noopener nofollow\">circa 330 dollari statunitensi per moneta.<\/a><\/p>\n<p>Rispetto a pesi massimi come Bitcoin o Ethereum, Monero \u00e8 un po\u2019 esotico e meno noto al grande pubblico. Questo status di nicchia si mostra nella crescita dei prezzi relativamente modesta e nella minore capitalizzazione di mercato, che \u00e8 circa 200 volte inferiore a quella di Bitcoin. Tuttavia, Monero ha una caratteristica distintiva: la privacy. Sebbene Bitcoin ed Ethereum operino su blockchain pubbliche completamente trasparenti, dove chiunque pu\u00f2 tracciare le transazioni, Monero \u00e8 una \u201cmoneta della privacy\u201d. Utilizza meccanismi di criptaggio avanzati per mascherare gli importi di mittente, destinatario e transazione. Questo estremo anonimato \u00e8 esattamente il motivo per cui gli hacker <a href=\"https:\/\/www.kaspersky.it\/blog\/?s=Monero\/\" target=\"_blank\" rel=\"noopener\">amano i miner Monero nascosti<\/a>: rende difficile per le forze dell\u2019ordine e i professionisti della sicurezza informatica seguire la scia del denaro.<\/p>\n<p>Inoltre, l\u2019algoritmo sottostante di Monero \u00e8 esplicitamente progettato per eseguire il mining in modo efficiente utilizzando processori per computer (CPU) standard. Questo \u00e8 in netto contrasto con molte altre criptovalute popolari, che richiedono hardware ASIC specializzato o schede grafiche (GPU) di fascia alta per essere redditizie.<\/p>\n<p>Ma diamo un\u2019occhiata pi\u00f9 da vicino a come \u00e8 andata a finire con Hola Browser. Quando i ricercatori hanno analizzato il codice dannoso <strong><em>me{.}exe<\/em><\/strong>, hanno scoperto che aggiungeva automaticamente i propri file all\u2019elenco di esclusioni Microsoft Defender. Iscrivendosi a sua volta nella lista consentiti, il malware ha bloccato correttamente l\u2019anti-virus integrato di Windows, consentendo al miner di criptovaluta di essere eseguito in background completamente senza ostacoli.<\/p>\n<p>Una volta all\u2019interno, il programma ha creato una copia di se stesso con il nome <strong><em>HolaMonitorService{.}exe<\/em><\/strong> e configurato un servizio in background di Windows persistente chiamato <strong><em>hola_monitor_svc<\/em><\/strong>. Questa manovra ha consentito al malware di radicarsi nel sistema, avviandosi automaticamente ad ogni riavvio del computer. Per evitare i campanelli d\u2019allarme con improvvisi e massicci cali delle prestazioni, il miner \u00e8 stato programmato per rimanere inattivo e attivarsi solo quando il computer era inattivo.<\/p>\n<h2>Come proteggere il dispositivo da miner di criptovaluta e malware<\/h2>\n<p>Il team di sviluppo di Hola ha reagito prontamente alle segnalazioni iniziali del file sospetto. Hanno confermato la violazione della supply chain, ma hanno affermato che l\u2019incidente ha avuto un impatto solo sullo 0,1% della base di utenti. Da allora l\u2019azienda ha rafforzato la protezione attorno alla pipeline di distribuzione degli aggiornamenti per garantire che gli utenti ricevano solo componenti software approvati, certificati e firmati digitalmente.<\/p>\n<p>Alla luce di questo incidente, \u00e8 consigliabile che tutti gli utenti di Hola Browser eseguano immediatamente l\u2019aggiornamento alla versione pi\u00f9 recente, in particolare quelli che eseguono l\u2019applicazione in Windows.<\/p>\n<p>Pi\u00f9 in generale, questa situazione \u00e8 un promemoria da manuale del motivo per cui \u00e8 cos\u00ec fondamentale tenere aggiornato tutto il software ed eseguire una <strong><a href=\"https:\/\/www.kaspersky.it\/home-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">solida soluzione di sicurezza informatica<\/a><\/strong> su tutti i dispositivi. Ad esempio, <a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0fornisce avvisi in tempo reale sui comportamenti sospetti del software e blocca le minacce all\u2019istante. Come ulteriore vantaggio, un abbonamento a <strong><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a><\/strong>\u00a0include una <strong><a href=\"https:\/\/www.kaspersky.it\/vpn-secure-connection?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____vpn___\" target=\"_blank\" rel=\"noopener\">VPN sicura e affidabile<\/a>.<\/strong><\/p>\n<p><\/p><blockquote><p>Non opportuno ricordare che i miner di criptovaluta dannosi non prendono di mira solo i PC; inseguono anche gli smartphone, spesso travestendosi da qualsiasi cosa: dai famosi giochi per dispositivi mobili alle app ufficiali dei servizi governativi. Per ulteriori informazioni, \u00e8 possibile consultare i post precedenti:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/30532\/\" target=\"_blank\" rel=\"noopener\">Un trojan Android si spaccia per servizi statali e app Starlink<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/what-happens-if-you-download-cracked-program\/29571\/\" target=\"_blank\" rel=\"noopener\">Cosa succede se scarichi un programma craccato?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/miner-disguised-as-circumvention-tools\/53118\/\" target=\"_blank\" rel=\"noopener nofollow\"> L\u2019inconveniente dei miner: in che modo i criminali informatici ricattano gli YouTuber facendogli promuovere il malware<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/mario-forever-malware-too\/27880\/\" target=\"_blank\" rel=\"noopener\"> Mario Forever, anche malware: un gioco gratis che nasconde un miner e qualche Trojan<\/a><br>\n<\/li><\/ul><\/blockquote>\n\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>A causa di un attacco alla supply chain, alcuni utenti Windows hanno scaricato inconsapevolmente un miner di criptovaluta Monero insieme alla relativa installazione di Hola Browser. <\/p>\n","protected":false},"author":2726,"featured_media":30831,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3723,142,3036,819,2868,3076,441,510,23],"class_list":{"0":"post-30830","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-attacco-alla-supply-chain","9":"tag-browser","10":"tag-criptovalute","11":"tag-miner","12":"tag-monero","13":"tag-supply-chain","14":"tag-trojan","15":"tag-vpn","16":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hola-browser-supply-chain-attack-cryptominer\/30830\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hola-browser-supply-chain-attack-cryptominer\/30837\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/25877\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hola-browser-supply-chain-attack-cryptominer\/30679\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hola-browser-supply-chain-attack-cryptominer\/32281\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hola-browser-supply-chain-attack-cryptominer\/42102\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hola-browser-supply-chain-attack-cryptominer\/14666\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/55999\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hola-browser-supply-chain-attack-cryptominer\/25147\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hola-browser-supply-chain-attack-cryptominer\/33670\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hola-browser-supply-chain-attack-cryptominer\/30787\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hola-browser-supply-chain-attack-cryptominer\/36347\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hola-browser-supply-chain-attack-cryptominer\/36237\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/criptovalute\/","name":"criptovalute"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30830","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30830"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30830\/revisions"}],"predecessor-version":[{"id":30832,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30830\/revisions\/30832"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30831"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30830"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30830"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30830"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}