криптовалюты
Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero. Это обнаружили в начале июня исследователи кибербезопасности. Позднее разработчик браузера, компания Hola, сообщила о том, что стала жертвой атаки на цепочку поставок. Подробнее об атаке, криптомайнере и возможных последствиях для пользователей читайте в нашей статье.
Что представляет собой браузер Hola и как было обнаружено его заражение
Израильская компания Hola наиболее известна своим VPN-сервисом, направленным в первую очередь на обход географических ограничений и получение доступа к контенту из других стран. Помимо VPN, компания также развивает браузер Hola Browser на базе Chromium со встроенными функциями VPN и прокси.
Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application. В ходе этой процедуры независимые компании, работающие в области кибербезопасности, проверяют, соответствует ли приложение заявленному составу компонентов и не содержит ли оно нежелательных или вредоносных функций. После получения сертификата приложения периодически проходят повторные проверки на соответствие требованиям AppEsteem.
Именно в рамках одного из таких тестов специалисты и обнаружили посторонний файл, который загружался вместе с версией 1.251.91.0 браузера Hola для Windows. Этот файл сохранялся на диск и был доступен по пути C:Program FilesHolame{.}exe. Файл привлек внимание исследователей из-за целого ряда подозрительных признаков. Он отсутствовал в списке сертифицированных файлов, не содержал временной метки и не был подписан цифровой подписью, при этом содержал обфусцированный код и обладал возможностью записи в память.
Исследователи отмечают, что обнаружили файл не во всех установках браузера. Поскольку заражение носило непостоянный характер, специалисты предположили, что речь идет о компрометации одного из этапов распространения Hola Browser. Позднее сама компания подтвердила, что стала жертвой атаки на цепочку поставок.
Изучение же самого подозрительного файла me{.}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero. Подробнее о нем — в следующей части нашего поста.
Как злоумышленники использовали Hola Browser для майнинга Monero
Криптомайнеры — это программы, которые используют вычислительные возможности компьютера для добычи криптовалюты. Такие программы могут сознательно устанавливать пользователи на свои устройства для заработка на криптовалюте. Однако если криптомайнеры запускаются на компьютерах без ведома владельца, их обычно относят к нежелательным программам.
Криптомайнеры могут замедлять работу устройства, увеличивать потребление электроэнергии и приводить к более быстрому износу оборудования. При этом отдельно подчеркнем, что заражение криптомайнером само по себе не приводит к краже криптовалюты пользователя — весь ущерб для него ограничивается тем, что ресурсы его компьютера используются распространителями майнера для собственного обогащения.
Как мы уже сказали выше, в случае заражения Hola Browser на устройства жертв загружался криптомайнер для добычи криптовалюты Monero. Эта криптовалюта основана на протоколе CryptoNote и была запущена в 2014 году. На момент публикации этого поста одна «монета» Monero стоила около 330 долларов.
Monero — достаточно экзотическая криптовалюта, значительно менее известная широкой аудитории, чем Bitcoin или Ethereum, что отражается в довольно скромном росте ее курса и небольшой капитализации (примерно в 200 раз меньше, чем у Bitcoin). Однако у нее есть одна важная особенность: в отличие от Bitcoin, Ethereum и многих других «больших» криптовалют, использующих полностью публичные блокчейны, Monero относится к криптовалютам, ориентированным на анонимность и конфиденциальность. Для этого в Monero используется несколько механизмов, затрудняющих анализ транзакций. Поэтому распространители скрытых криптомайнеров часто добывают именно Monero — это усложняет отслеживание криптовалюты правоохранительными органами и исследователями безопасности.
Кроме того, алгоритм Monero позволяет эффективно добывать эту криптовалюту с помощью обычных центральных процессоров (CPU), тогда как для майнинга многих других криптовалют предпочтительно использование специализированных ASIC-устройств или мощных GPU.
Но вернемся к Hola Browser. Изучение кода вредоносной программы me{.}exe показало, что она добавляла собственные файлы в список исключений Microsoft Defender. Благодаря этому встроенный антивирус Windows переставал проверять эти файлы и не мешал работе криптомайнера.
После этого программа копировала себя под именем HolaMonitorService{.}exe и создавала автоматически запускаемую службу Windows hola_monitor_svc. Это позволяло ей сохраняться в системе и запускаться автоматически после каждой перезагрузки компьютера. При этом сам криптомайнер активировался только в периоды бездействия пользователя, чтобы не привлекать внимание резким падением производительности устройства.
Как защитить свое устройство от криптомайнеров и других вредоносных программ
Разработчики браузера Hola, следует отдать им должное, быстро отреагировали на сообщения об обнаружении подозрительного файла. Они подтвердили версию с компрометацией цепочки поставок и заявили, что инцидент затронул только 0,1% пользователей. Компания также приняла меры по защите процесса распространения обновлений, которые призваны гарантировать получение пользователями только заявленных, сертифицированных и подписанных компонентов.
В связи с данным инцидентом мы рекомендуем всем пользователям Hola Browser обновиться до последней версии — в первую очередь речь, конечно, идет о приложении для Windows.
В более же общем смысле этот случай иллюстрирует необходимость регулярно обновлять установленное на устройствах ПО, а также использовать надежное защитное решение на всех своих гаджетах. Например, Kaspersky Premium в реальном времени предупредит о подозрительной активности вредоносного ПО на устройстве и своевременно ограничит ее. Кстати, в подписку Kaspersky Premium входит и надежный VPN.
Вредоносные криптомайнеры атакуют не только компьютеры, но и смартфоны, маскируясь под самые популярные приложения — от игр до приложений госуслуг. Подробнее в наших постах:
Советы