Hola Browser: cómo los hackers le añadieron un criptominero secreto

A raíz de un ataque a la cadena de suministro, al instalar Hola Browser, algunos usuarios de Windows también descargaron, sin saberlo, un criptominero de Monero.

Hola Browser es un navegador web desarrollado en Israel. A principios de junio, un grupo de investigadores en ciberseguridad detectó que una versión modificada de esta aplicación (la versión 1.251.91.0 para Windows) descargaba en secreto un criptominero de Monero en los dispositivos de los usuarios. Poco después de este hallazgo, la empresa Hola confirmó que había sido víctima de un ataque a su cadena de suministro. En este artículo, explicamos cómo ocurrió el ataque, cómo funciona el criptominero y qué consecuencias tiene el incidente para los usuarios afectados.

¿Qué es Hola Browser y cómo se descubrió el malware?

La empresa israelí Hola es conocida principalmente por su servicio de VPN, que se usa, sobre todo, para evadir restricciones geográficas y acceder a contenidos bloqueados por región. Además de la VPN, la empresa desarrolla Hola Browser, un navegador basado en Chromium que viene con funciones de VPN y proxy integradas.

Los investigadores notaron que algo andaba mal durante una revisión de cumplimiento estándar que realizaban para AppEsteem, un programa de certificación para aplicaciones para Windows. Como parte del proceso de certificación, las aplicaciones se someten a un control por parte de empresas de ciberseguridad independientes. Estas empresas auditan el software para verificar que no tenga características indeseadas o maliciosas, sino únicamente los componentes que diga tener. Una vez certificadas, las aplicaciones se reevalúan periódicamente para garantizar que sigan cumpliendo con las estrictas pautas de AppEsteem.

Durante una de estas reevaluaciones, los especialistas hallaron un archivo no autorizado en la versión 1.251.91.0 de Hola Browser para Windows. Este archivo quedaba almacenado en el disco duro, en C:\Archivos de programa\Hola\me{.}exe, cuando concluía la instalación del navegador. El archivo llamó la atención de los especialistas de inmediato. Era sospechoso por donde se lo mirara: no estaba en la lista de archivos aprobados de la aplicación, no tenía firma digital y no tenía siquiera marca de fecha y hora. Sumado a ello, el código del archivo estaba altamente ofuscado y tenía la capacidad de inyectarse directamente en la memoria del sistema.

Los investigadores se percataron de que, curiosamente, el archivo no era común a todas las instalaciones. Como la infección, por ende, no afectaba a la totalidad de los usuarios, los especialistas sospecharon desde un principio que alguien había vulnerado una etapa puntual del canal de distribución de Hola Browser. La empresa Hola luego confirmó esta teoría y reconoció que había sido víctima de un ataque a su cadena de suministro.

En cuanto al archivo sospechoso en sí, me{.}exe, un análisis más detallado reveló que era un criptominero sigiloso, configurado para minar Monero. Veamos en detalle cómo funciona.

¿Cómo hicieron los atacantes para minar Monero a través de Hola Browser?

Los criptomineros son programas que aprovechan el poder de procesamiento de una computadora para minar criptomonedas. Aunque algunas personas los instalan adrede con la esperanza de generar un ingreso extra, los mineros que se ejecutan en un equipo sin que lo sepa el propietario se clasifican normalmente como no deseados.

Cuando hay un minero oculto en ejecución, el dispositivo puede funcionar mucho más lento, la factura de electricidad puede aumentar y la vida útil del hardware puede acortarse. Aun así, vale la pena señalar que una infección de criptominero no busca robar las criptomonedas del usuario: el daño, en realidad, se limita a permitir que los hackers usen el hardware de la víctima para llenarse los bolsillos.

Como dijimos más arriba, el archivo malicioso que se descargaba junto con Hola Browser infiltraba un criptominero de Monero en los dispositivos de las víctimas. Monero se lanzó en 2014, desarrollada sobre la base del protocolo CryptoNote. En la actualidad, cotiza a alrededor de USD 330 por moneda.

Si se la compara con los “pesos pesados” como Bitcoin o Ethereum, Monero es un poco exótica y menos conocida por el público en general. Por ser una moneda de nicho, ha mostrado un crecimiento de precios bastante modesto y tiene una capitalización de mercado mucho más pequeña que la de Bitcoin (aproximadamente un 200 % más baja). Pero Monero tiene algo que la distingue de las demás: la privacidad. Mientras que Bitcoin y Ethereum utilizan cadenas de bloques públicas y transparentes, que permiten que cualquiera siga los pasos de una transacción, Monero ha sido llamada “la moneda privada”. En las transacciones con Monero, se utilizan mecanismos criptográficos avanzados para ocultar el monto y la identidad del remitente y del destinatario. Es por este anonimato extremo que los hackers adoran los mineros ocultos de Monero: hacen que seguir el rastro del dinero sea muy difícil para las fuerzas del orden y los especialistas en ciberseguridad.

Además, el algoritmo subyacente de Monero se pensó especialmente para que fuera eficiente minar monedas con procesadores de computadora (CPU) estándar. Con muchas otras criptomonedas populares, para sacar una rentabilidad, se necesita usar hardware ASIC especializado o tarjetas gráficas (GPU) de alta gama.

Concentrémonos ahora en cómo fue el incidente de Hola Browser. Cuando los investigadores analizaron el código malicioso de me{.}exe, descubrieron que agregaba automáticamente sus propios archivos a la lista de exclusión de Microsoft Defender. Al marcarse a sí mismo como lícito, el malware logró eludir el antivirus integrado de Windows y, con ello, el criptominero pudo ejecutarse en segundo plano sin ningún obstáculo.

Una vez en el sistema, el programa creaba una copia de sí con el nombre HolaMonitorService{.}exe y configuraba un servicio de Windows llamado hola_monitor_svc, que se ejecutaba de manera persistente en segundo plano. Esta maniobra permitía que el malware se atrincherara en el sistema y se ejecutara automáticamente cada vez que se reiniciaba el equipo. Para evitar mermas repentinas y pronunciadas en el rendimiento del dispositivo, las cuales podrían haber delatado que algo andaba mal, el minero se mantenía en pausa hasta que la computadora dejaba de mostrar señales de actividad.

Cómo proteger tu dispositivo del malware y los criptomineros

Se debe destacar que los desarrolladores de Hola fueron diligentes para atender a los reportes iniciales sobre el archivo sospechoso. Confirmaron que su cadena de suministro había sido atacada, pero dijeron que el incidente afectaba solo al 0.1 % de sus usuarios. Desde entonces, la compañía ha reforzado la seguridad del canal por el que distribuyen sus actualizaciones para garantizar que los usuarios reciban únicamente componentes de software aprobados, certificados y con firma digital.

A la luz de este incidente, recomendamos enfáticamente que todos los usuarios de Hola Browser actualicen la aplicación a la última versión de inmediato. Esto va en especial para quienes usen el navegador en Windows.

En términos más generales, esta situación es prueba irrefutable de la importancia de mantener actualizadas todas las aplicaciones y de usar una solución de ciberseguridad robusta en todos los dispositivos. Kaspersky Premium, por ejemplo, brinda alertas en tiempo real cuando una aplicación se comporta de forma sospechosa y bloquea las amenazas al instante. Como si esto fuera poco, la suscripción a Kaspersky Premium incluye acceso a una VPN segura y confiable.

No olvides que los criptomineros malintencionados no solo existen para la PC: también vienen para teléfonos inteligentes, y a menudo simulan ser cosas como juegos móviles populares o incluso aplicaciones oficiales del gobierno. Encontrarás información adicional en estas publicaciones anteriores:

Consejos