Hola BrowserのWindows版がサプライチェーン攻撃を受け、暗号通貨マイナーを配布

Hola BrowserのWindows版がサプライチェーン攻撃により侵害され、研究者によって暗号通貨マイナーと特定された未申告の実行ファイルが配布されていたことが明らかになりました。

この侵害は、AppEsteem認定テスト手続きの一環として実施されたHola Browserの定期認定審査の中で発覚しました。Hola Browserはそれ以前の審査をパスしていました。

Holaはイスラエルの企業で、地理的制限を回避してさまざまな国のコンテンツにアクセスするため、他のユーザーのデバイスや有料プロキシインフラを経由してインターネットトラフィックをルーティングするサービス「Hola VPN」で広く知られています。

Hola BrowserはChromiumをベースとしており、VPNおよびプロキシ機能がブラウザに直接統合されています。

同社およびその製品は過去にも、無料ユーザーをプロキシとして活用する商用サービス「Luminati Networks」の運営に関連した不透明なトラフィック処理の慣行により、批判を集めてきました。

今回のアプリ整合性チェックにおいて、Sophosおよび評価プロセスに参加した他のサイバーセキュリティ企業は、C:\Program Files\Hola\配下に「me.exe」という未申告の実行ファイルが一部のケースでインストールされていることを発見しました。

このファイルは認定を受けておらず、タイムスタンプもなく、デジタル署名もなく、難読化されたコードを含み、メモリへの書き込みが可能な状態でした。

さらに詳しく調査したところ、SophosはこのバイナリがMonero暗号通貨マイナーであることを示す兆候を発見しました。その性質を明らかにする文字列も含まれていました。

このマイナーはWindows Defenderの除外ルールを追加し、「HolaMonitorService.exe」としてProgram Filesにコピーされ、「hola_monitor_svc」という自動起動のWindowsサービスを作成して、コンピューターがアイドル状態のときに実行されます。

Holaの対応

HolaはAppEsteemから調査結果の通知を受け、サプライチェーン侵害が発生したことを認めました。この侵害はサイバーセキュリティ企業Sygniaによっても独自に検出されています。

それにもかかわらず、同社は影響を受けたユーザーは全体の約0.1%にとどまり、ユーザーデータへのアクセス、窃取、または侵害の証拠はないと述べています。

「私たちはすでに配布パイプラインを完全に再構築し、高度なコード署名検証を導入するとともに、インフラ全体のアクセス制御強化と継続的な監視を実施しました」と、HolaのCEOであるAvi Raz Cohen氏は述べています。

「これらの対策は、申告済みで認定・署名されたコンポーネントのみがユーザーに配信されることを確実にするためのものです。」

BleepingComputerは侵害の経緯、攻撃者の特定、および他のプラットフォームのユーザーへの影響の有無について詳細情報を求めHolaに問い合わせましたが、本記事の公開時点では回答を得られていません。