Heimliches Krypto-Mining mit Hola Browser

Nach einem Lieferkettenangriff luden einige Windows-Nutzer zusammen mit Hola Browser unwissentlich einen Monero-Krypto-Miner herunter.

Verbreitung eines Monero-Miners über Hola Browser

Anfang Juni entdeckten Cybersicherheitsforscher, dass eine kompromittierte Version des aus Israel stammenden Hola Browsers für Windows (1.251.91.0) heimlich einen Monero-Krypto-Miner auf Endgeräte herunterlud. Kurz nach dem Fund bestätigte der Hersteller, dass Hola einem Angriff auf die Lieferkette zum Opfer gefallen war. Wir erklären, wie der Angriff ablief, wie der Krypto-Miner funktioniert und was diese Geschichte für betroffene Nutzer bedeutet.

Was ist Hola Browser und wie wurde die Malware entdeckt?

Das israelische Unternehmen Hola ist vor allem für seinen VPN-Dienst bekannt, mit dem sich geografische Beschränkungen umgehen und regional geblockte Inhalte öffnen lassen. Neben dem VPN entwickelt das Unternehmen den Hola Browser, der auf Chromium basiert und über integrierte VPN- und Proxy-Funktionen verfügt.

Erste Unregelmäßigkeiten fielen den Forschern bei einer standardmäßigen Konformitätsprüfung für AppEsteem Windows Certified Application auf. Im Rahmen dieses Zertifizierungsprozesses kontrollieren unabhängige Cybersicherheitsunternehmen die Software. Dadurch wird sichergestellt, dass nur die vorgesehenen Komponenten enthalten sind und sich keine unerwünschten oder bösartigen Funktionen einschleichen. Auch nach der Zertifizierung werden Apps weiterhin regelmäßig anhand der strengen AppEsteem-Richtlinien überprüft.

Während einer solchen routinemäßigen Nachuntersuchung bemerkten die Experten, dass eine nicht autorisierte Datei mit Hola Browser für Windows (Version 1.251.91.0) verknüpft war. Diese Datei wurde nach der Installation unter C:\Programme\Hola\me{.}exe auf der Festplatte gespeichert. Die Forscher schöpften sofort Verdacht, da die Datei mehrere auffällige Merkmale hatte: Sie stand nicht auf der Liste der genehmigten Programmdateien, hatte keinen Zeitstempel und war nicht digital signiert. Darüber hinaus war der Code stark verschleiert, und die Datei konnte sich selbst direkt in den Systemspeicher injizieren.

Interessanterweise stellten die Forscher fest, dass die Datei nicht in allen Installationen auftauchte. Da nicht alle Nutzer von der Infektion betroffen waren, vermuteten Experten, dass die Verteilungspipeline von Hola Browser in einer bestimmten Phase kompromittiert war. Diese Theorie wurde später von Hola bestätigt. Das Unternehmen war einem Angriff auf die Lieferkette zum Opfer gefallen.

Eine Analyse der verdächtigen Datei me{.}exe ergab, dass es sich um einen versteckten Krypto-Miner handelte, der für das Mining von Monero konfiguriert war. Die technischen Details folgen gleich.

Wie verwendeten die Angreifer den Hola Browser, um Monero zu minen?

Krypto-Miner sind Programme, die die Rechenleistung eines Computers nutzen, um Kryptowährungen zu schürfen. Manche Nutzer installieren diese Software bewusst, um ein wenig Geld zu verdienen. Miner, die ohne Wissen des Besitzers auf einem Computer laufen, gelten jedoch normalerweise als unerwünscht.

Das Ausführen eines versteckten Miners kann das Gerät merklich verlangsamen, die Stromrechnung des Nutzers in die Höhe treiben und die Lebensdauer der Hardware verkürzen. Wichtig ist auch, dass bei einer Krypto-Miner-Infektion das Kryptoguthaben des Gerätebesitzers nicht gestohlen wird. Der Schaden ist strikt darauf beschränkt, dass Hacker die Hardware-Ressourcen eines Computers ausnutzen, um ihre eigenen Taschen zu füllen.

Wie bereits erwähnt, wurde bei der Installation von Hola Browser ein Monero-Krypto-Miner auf die Geräte der Opfer heruntergeladen. Monero kam 2014 auf den Markt, basiert auf dem CryptoNote-Protokoll und steht derzeit etwa bei 330 US-Dollar pro Coin.

Im Vergleich zu Schwergewichten wie Bitcoin oder Ethereum ist Monero eher ein Exot und längst nicht so bekannt. Dieser Nischenstatus zeigt sich in einem relativ bescheidenen Preiswachstum und einer geringeren Marktkapitalisierung, die etwa 200-mal niedriger ist als die von Bitcoin. Monero hat jedoch ein entscheidendes Merkmal: die Privatsphäre. Während Bitcoin und Ethereum mit vollständig transparenten, öffentlichen Blockchains arbeiten, in denen alle Teilnehmer die Transaktionen verfolgen können, ist Monero eine „private Coin“. Absender, Empfänger und Transaktionsbeträge werden durch moderne kryptografische Mechanismen maskiert. Genau diese extreme Anonymität ist der Grund, warum Hacker versteckte Monero-Miner lieben. Strafverfolgungsbehörden und Cybersicherheitsexperten haben es entsprechend schwer, der Spur des Geldes zu folgen.

Darüber hinaus ist der zugrunde liegende Algorithmus von Monero explizit darauf ausgelegt, mithilfe standardmäßiger Computerprozessoren effizient zu minen. Ein klarer Gegensatz zu vielen beliebten Kryptowährungen, die spezielle ASIC-Hardware oder High-End-Grafikkarten erfordern, um profitabel zu funktionieren.

Zurück zu Hola Browser. Bei der Analyse des bösartigen Codes me{.}exe stellten die Forscher fest, dass er seine eigenen Dateien automatisch zur Microsoft Defender-Ausschlussliste hinzufügte. Dadurch trickste die Malware den integrierten Antivirenschutz von Windows erfolgreich aus, und der Krypto-Miner konnte unbehelligt sein Unwesen treiben.

Gleich nach der Infektion erstellte das Programm eine Kopie von sich (HolaMonitorService{.}exe) und richtete den persistenten Windows-Hintergrunddienst hola_monitor_svc ein. Die Malware nistete sich im System ein und wurde bei jedem Reboot automatisch gestartet. Um zu vermeiden, dass bei massiven Leistungseinbrüchen die Alarmglocken schrillten, wurde der Miner nur aktiviert, wenn der Computer inaktiv war.

So schützt du dein Gerät vor Krypto-Minern und Malware

Das Hola-Entwicklerteam reagierte schnell auf die ersten Berichte über die verdächtige Datei. Sie bestätigten den Lieferkettenangriff und gaben an, dass der Vorfall nur 0,1 % der Benutzer betraf. In der Zwischenzeit hat das Unternehmen die Sicherheit seiner Update-Pipeline verbessert. Es bleibt zu hoffen, dass Nutzer künftig nur noch genehmigte, zertifizierte und digital signierte Softwarekomponenten erhalten.

Aufgrund dieses Vorfalls empfehlen wir allen Nutzern von Hola Browser, sofort auf die neueste Version zu aktualisieren – besonders wichtig für die Windows-Version.

Dieser Fall erinnert wieder einmal daran, warum es so wichtig ist, deine gesamte Software auf dem neuesten Stand zu halten und auf allen Geräten eine robuste Cybersicherheitslösung zu installieren. Kaspersky Premium warnt beispielsweise in Echtzeit vor verdächtigem Softwareverhalten und blockiert Bedrohungen sofort. Bonus: Das Abonnement für Kaspersky Premium enthält sicheres und zuverlässiges VPN.

Bösartige Krypto-Miner haben nicht nur PCs zum Ziel. Sie verschmähen auch Smartphones nicht und nutzen alle möglichen Tarnungen, von beliebten Games bis hin zu offiziellen Behörden-Apps. Weitere Infos findest du hier:

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder