{"id":33670,"date":"2026-06-30T11:00:51","date_gmt":"2026-06-30T09:00:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33670"},"modified":"2026-06-30T17:12:22","modified_gmt":"2026-06-30T15:12:22","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hola-browser-supply-chain-attack-cryptominer\/33670\/","title":{"rendered":"Heimliches Krypto-Mining mit Hola Browser"},"content":{"rendered":"

Anfang Juni entdeckten Cybersicherheitsforscher, dass eine kompromittierte Version des aus Israel stammenden Hola Browsers f\u00fcr Windows (1.251.91.0) heimlich einen Monero-Krypto-Miner auf Endger\u00e4te herunterlud<\/a>. Kurz nach dem Fund best\u00e4tigte der Hersteller, dass Hola einem Angriff auf die Lieferkette zum Opfer gefallen war. Wir erkl\u00e4ren, wie der Angriff ablief, wie der Krypto-Miner funktioniert und was diese Geschichte f\u00fcr betroffene Nutzer bedeutet.<\/p>\n

Was ist Hola Browser und wie wurde die Malware entdeckt?<\/h2>\n

Das israelische Unternehmen Hola ist vor allem f\u00fcr seinen VPN-Dienst bekannt, mit dem sich geografische Beschr\u00e4nkungen umgehen und regional geblockte Inhalte \u00f6ffnen lassen. Neben dem VPN entwickelt das Unternehmen den Hola Browser, der auf Chromium basiert und \u00fcber integrierte VPN- und Proxy-Funktionen verf\u00fcgt.<\/p>\n

Erste Unregelm\u00e4\u00dfigkeiten fielen den Forschern bei einer standardm\u00e4\u00dfigen Konformit\u00e4tspr\u00fcfung f\u00fcr AppEsteem Windows Certified Application<\/a> auf. Im Rahmen dieses Zertifizierungsprozesses kontrollieren unabh\u00e4ngige Cybersicherheitsunternehmen die Software. Dadurch wird sichergestellt, dass nur die vorgesehenen Komponenten enthalten sind und sich keine unerw\u00fcnschten oder b\u00f6sartigen Funktionen einschleichen. Auch nach der Zertifizierung werden Apps weiterhin regelm\u00e4\u00dfig anhand der strengen AppEsteem-Richtlinien \u00fcberpr\u00fcft.<\/p>\n

W\u00e4hrend einer solchen routinem\u00e4\u00dfigen Nachuntersuchung bemerkten die Experten, dass eine nicht autorisierte Datei mit Hola Browser f\u00fcr Windows (Version 1.251.91.0<\/em><\/strong>) verkn\u00fcpft war. Diese Datei wurde nach der Installation unter C:\\Programme\\Hola\\me{.}exe<\/em><\/strong> auf der Festplatte gespeichert. Die Forscher sch\u00f6pften sofort Verdacht, da die Datei mehrere auff\u00e4llige Merkmale hatte: Sie stand nicht auf der Liste der genehmigten Programmdateien, hatte keinen Zeitstempel und war nicht digital signiert. Dar\u00fcber hinaus war der Code stark verschleiert, und die Datei konnte sich selbst direkt in den Systemspeicher injizieren.<\/p>\n

Interessanterweise stellten die Forscher fest, dass die Datei nicht in allen Installationen auftauchte. Da nicht alle Nutzer von der Infektion betroffen waren, vermuteten Experten, dass die Verteilungspipeline von Hola Browser in einer bestimmten Phase kompromittiert war. Diese Theorie wurde sp\u00e4ter von Hola best\u00e4tigt. Das Unternehmen war einem Angriff auf die Lieferkette zum Opfer gefallen.<\/p>\n

Eine Analyse der verd\u00e4chtigen Datei me{.}exe<\/em><\/strong> ergab, dass es sich um einen versteckten Krypto-Miner handelte, der f\u00fcr das Mining von Monero konfiguriert war. Die technischen Details folgen gleich.<\/p>\n

Wie verwendeten die Angreifer den Hola Browser, um Monero zu minen?<\/h2>\n

Krypto-Miner sind Programme, die die Rechenleistung eines Computers nutzen, um Kryptow\u00e4hrungen zu sch\u00fcrfen. Manche Nutzer installieren diese Software bewusst, um ein wenig Geld zu verdienen. Miner, die ohne Wissen des Besitzers auf einem Computer laufen, gelten jedoch normalerweise als unerw\u00fcnscht.<\/p>\n

Das Ausf\u00fchren eines versteckten Miners kann das Ger\u00e4t merklich verlangsamen, die Stromrechnung des Nutzers in die H\u00f6he treiben und die Lebensdauer der Hardware verk\u00fcrzen. Wichtig ist auch, dass bei einer Krypto-Miner-Infektion das Kryptoguthaben des Ger\u00e4tebesitzers nicht gestohlen wird. Der Schaden ist strikt darauf beschr\u00e4nkt, dass Hacker die Hardware-Ressourcen eines Computers ausnutzen, um ihre eigenen Taschen zu f\u00fcllen.<\/p>\n

Wie bereits erw\u00e4hnt, wurde bei der Installation von Hola Browser ein Monero<\/a>-Krypto-Miner auf die Ger\u00e4te der Opfer heruntergeladen. Monero kam 2014 auf den Markt, basiert auf dem CryptoNote-Protokoll und steht derzeit etwa bei 330\u00a0US-Dollar pro Coin.<\/a><\/p>\n

Im Vergleich zu Schwergewichten wie Bitcoin oder Ethereum ist Monero eher ein Exot und l\u00e4ngst nicht so bekannt. Dieser Nischenstatus zeigt sich in einem relativ bescheidenen Preiswachstum und einer geringeren Marktkapitalisierung, die etwa 200-mal niedriger ist als die von Bitcoin. Monero hat jedoch ein entscheidendes Merkmal: die Privatsph\u00e4re. W\u00e4hrend Bitcoin und Ethereum mit vollst\u00e4ndig transparenten, \u00f6ffentlichen Blockchains arbeiten, in denen alle Teilnehmer die Transaktionen verfolgen k\u00f6nnen, ist Monero eine \u201eprivate Coin\u201c. Absender, Empf\u00e4nger und Transaktionsbetr\u00e4ge werden durch moderne kryptografische Mechanismen maskiert. Genau diese extreme Anonymit\u00e4t ist der Grund, warum Hacker versteckte Monero-Miner lieben<\/a>. Strafverfolgungsbeh\u00f6rden und Cybersicherheitsexperten haben es entsprechend schwer, der Spur des Geldes zu folgen.<\/p>\n

Dar\u00fcber hinaus ist der zugrunde liegende Algorithmus von Monero explizit darauf ausgelegt, mithilfe standardm\u00e4\u00dfiger Computerprozessoren effizient zu minen. Ein klarer Gegensatz zu vielen beliebten Kryptow\u00e4hrungen, die spezielle ASIC-Hardware oder High-End-Grafikkarten erfordern, um profitabel zu funktionieren.<\/p>\n

Zur\u00fcck zu Hola Browser. Bei der Analyse des b\u00f6sartigen Codes me{.}exe<\/em><\/strong> stellten die Forscher fest, dass er seine eigenen Dateien automatisch zur Microsoft Defender-Ausschlussliste hinzuf\u00fcgte. Dadurch trickste die Malware den integrierten Antivirenschutz von Windows erfolgreich aus, und der Krypto-Miner konnte unbehelligt sein Unwesen treiben.<\/p>\n

Gleich nach der Infektion erstellte das Programm eine Kopie von sich (HolaMonitorService{.}exe<\/em><\/strong>) und richtete den persistenten Windows-Hintergrunddienst hola_monitor_svc<\/em><\/strong> ein. Die Malware nistete sich im System ein und wurde bei jedem Reboot automatisch gestartet. Um zu vermeiden, dass bei massiven Leistungseinbr\u00fcchen die Alarmglocken schrillten, wurde der Miner nur aktiviert, wenn der Computer inaktiv war.<\/p>\n

So sch\u00fctzt du dein Ger\u00e4t vor Krypto-Minern und Malware<\/h2>\n

Das Hola-Entwicklerteam reagierte schnell auf die ersten Berichte \u00fcber die verd\u00e4chtige Datei. Sie best\u00e4tigten den Lieferkettenangriff und gaben an, dass der Vorfall nur 0,1\u00a0% der Benutzer betraf. In der Zwischenzeit hat das Unternehmen die Sicherheit seiner Update-Pipeline verbessert. Es bleibt zu hoffen, dass Nutzer k\u00fcnftig nur noch genehmigte, zertifizierte und digital signierte Softwarekomponenten erhalten.<\/p>\n

Aufgrund dieses Vorfalls empfehlen wir allen Nutzern von Hola Browser, sofort auf die neueste Version zu aktualisieren\u00a0\u2013 besonders wichtig f\u00fcr die Windows-Version.<\/p>\n

Dieser Fall erinnert wieder einmal daran, warum es so wichtig ist, deine gesamte Software auf dem neuesten Stand zu halten und auf allen Ger\u00e4ten eine\u00a0robuste Cybersicherheitsl\u00f6sung<\/a> zu installieren. Kaspersky Premium<\/a> warnt beispielsweise in Echtzeit vor verd\u00e4chtigem Softwareverhalten und blockiert Bedrohungen sofort. Bonus: Das Abonnement f\u00fcr Kaspersky Premium<\/a> enth\u00e4lt\u00a0sicheres und zuverl\u00e4ssiges VPN<\/a>.<\/p>\n

B\u00f6sartige Krypto-Miner haben nicht nur PCs zum Ziel. Sie verschm\u00e4hen auch Smartphones nicht und nutzen alle m\u00f6glichen Tarnungen, von beliebten Games bis hin zu offiziellen Beh\u00f6rden-Apps. Weitere Infos findest du hier:<\/p>\n