Début juin, des chercheurs en cybersécurité ont découvert qu’une version compromise du navigateur Hola Browser pour Windows (version 1.251.91.0), développé en Israël, téléchargeait secrètement un mineur de cryptomonnaie Monero sur les appareils des utilisateurs. Peu après la découverte, l’entreprise Hola a confirmé avoir été victime d’une attaque contre la chaîne d’approvisionnement. Dans cet article, nous analysons le déroulement de l’attaque, le fonctionnement du mineur de cryptomonnaie et ce que cela implique pour les utilisateurs concernés.
Qu’est-ce que Hola Browser, et comment ce programme malveillant a-t-il été découvert ?
La société israélienne Hola est principalement connue pour son service VPN, auquel les utilisateurs ont surtout recours pour contourner les restrictions géographiques et accéder à des contenus bloqués dans certaines régions. Outre son service VPN, l’entreprise développe Hola Browser, un navigateur basé sur Chromium qui intègre des fonctions VPN et proxy.
C’est lors d’un contrôle de conformité de routine dans le cadre du programme AppEsteem Windows Certified Application que les chercheurs ont détecté les premiers éléments suspects. Dans le cadre de ce processus de certification, des cabinets indépendants spécialisés dans la cybersécurité procèdent à des audits des logiciels afin de s’assurer qu’ils ne contiennent que les composants qu’ils prétendent contenir et qu’ils ne comportent aucune fonctionnalité indésirable ou malveillante. Même après l’octroi d’un certificat, les applications font l’objet d’une réévaluation régulière afin de s’assurer qu’elles continuent de respecter les directives strictes d’AppEsteem.
C’est lors d’un de ces contrôles de suivi de routine que des experts ont remarqué qu’un fichier non autorisé venait se greffer à la version 1.251.91.0 du navigateur Hola Browser pour Windows. Une fois installé, le fichier s’enregistrait automatiquement sur le disque dur à l’emplacement C:\Program Files\Hola\me{.}exe. Ce fichier a immédiatement éveillé les soupçons des chercheurs en raison d’une longue liste de caractéristiques suspectes : il ne figurait pas sur la liste des fichiers d’application approuvés, ne comportait pas d’horodatage et était dépourvu de signature numérique. De plus, son code était fortement brouillé, et il était capable de s’injecter directement dans la mémoire système.
Fait intéressant, les chercheurs ont remarqué que ce fichier n’apparaissait pas dans toutes les installations. L’infection n’ayant pas touché l’ensemble des utilisateurs, les experts ont très tôt soupçonné qu’une étape précise du processus de distribution du navigateur Hola Browser avait été compromise. L’entreprise Hola a par la suite confirmé cette hypothèse, reconnaissant avoir été victime d’une attaque visant sa chaîne d’approvisionnement.
En ce qui concerne le fichier suspect me{.}exe, une analyse plus approfondie a révélé qu’il s’agissait d’un mineur de cryptomonnaie furtif conçu pour miner du Monero. Passons maintenant aux détails techniques de son fonctionnement.
Comment les pirates ont-ils utilisé le navigateur Hola Browser pour miner du Monero ?
Les mineurs de cryptomonnaies sont des programmes qui exploitent la puissance de calcul d’un ordinateur pour miner des cryptomonnaies. Si certains utilisateurs installent ce logiciel volontairement pour générer un petit revenu, les mineurs qui fonctionnent sur un ordinateur à l’insu de son propriétaire sont généralement considérés comme indésirables.
L’exécution d’un mineur caché peut ralentir sensiblement l’appareil, faire grimper la facture d’électricité de l’utilisateur et réduire la durée de vie du matériel. Cela dit, il convient de noter qu’une infection par un mineur de cryptomonnaie ne volera pas réellement les cryptomonnaies du propriétaire. Le préjudice se limite strictement au fait que les pirates exploitent les ressources matérielles de l’ordinateur pour s’enrichir.
Comme nous l’avons mentionné plus haut, le téléchargement malveillant associé au navigateur Hola Browser a introduit subtilement un mineur de cryptomonnaie Monero sur les appareils des victimes. Lancé en 2014 et basé sur le protocole CryptoNote, Monero se négocie actuellement à environ 330 $ US la pièce.
Comparé à des géants comme le Bitcoin ou l’Ethereum, le Monero est un peu plus « exotique » et moins connu du grand public. Ce caractère niche se reflète dans la progression relativement modeste de son cours et dans sa capitalisation boursière plus faible, environ 200 fois inférieure à celle du Bitcoin. Cependant, Monero présente une différence majeure : la confidentialité. Alors que le Bitcoin et l’Ethereum fonctionnent sur des blockchains publiques et entièrement transparentes, où tout le monde peut suivre les transactions, Monero est une « cryptomonnaie axée sur la confidentialité ». Elle utilise des mécanismes cryptographiques avancés pour masquer l’identité de l’expéditeur et du destinataire, ainsi que les montants des transactions. C’est précisément cet anonymat extrême qui explique pourquoi les pirates informatiques apprécient tant les mineurs Monero secrets : cela complique la tâche des forces de l’ordre et des professionnels de la cybersécurité lorsqu’il s’agit de remonter la piste de l’argent.
De plus, l’algorithme sous-jacent de Monero est explicitement conçu pour permettre un minage efficace à l’aide de processeurs informatiques standard (CPU). Cela contraste fortement avec de nombreuses autres cryptomonnaies populaires, qui nécessitent du matériel ASIC spécialisé ou des cartes graphiques haut de gamme (GPU) pour être rentables.
Mais voyons de plus près comment les choses se sont déroulées avec le navigateur Hola Browser. Lorsque les chercheurs ont analysé le code malveillant me{.}exe, ils ont découvert qu’il ajoutait automatiquement ses propres fichiers à la liste d’exclusion de Microsoft Defender. En s’ajoutant lui-même à cette liste, le programme malveillant a réussi à contourner l’antivirus intégré à Windows, permettant ainsi au mineur de cryptomonnaie de fonctionner en arrière-plan sans entrave.
Une fois installé, le programme créait une copie de lui-même sous le nom HolaMonitorService{.}exe, puis mettait en place un service Windows persistant s’exécutant en arrière-plan, appelé hola_monitor_svc. Cette manœuvre a permis au programme malveillant de s’ancrer dans le système, et de s’exécuter automatiquement à chaque redémarrage de l’ordinateur. Afin d’éviter de susciter des soupçons en raison de baisses soudaines et importantes des performances, le mineur a été programmé de manière à rester en veille et à ne se mettre en marche que lorsque l’ordinateur est inactif.
Comment protéger votre appareil contre les mineurs de cryptomonnaies et les programmes malveillants
Il faut reconnaître que l’équipe de développement d’Hola a réagi rapidement aux premiers signalements concernant ce fichier suspect. L’entreprise a confirmé la violation de sa chaîne d’approvisionnement, mais a précisé que cet incident n’avait touché que 0,1 % de sa base d’utilisateurs. Depuis, l’entreprise a renforcé la sécurité de son processus de distribution des mises à jour afin de garantir que, dorénavant, les utilisateurs ne reçoivent plus que des composants logiciels approuvés, certifiés et signés numériquement.
Compte tenu de cet incident, nous recommandons vivement à tous les utilisateurs du navigateur Hola Browser de passer immédiatement à la dernière version, en particulier à ceux qui utilisent l’application sous Windows.
Plus généralement, cette situation illustre parfaitement pourquoi il est si important de maintenir tous vos logiciels à jour et d’utiliser une solution de cybersécurité performante sur tous vos appareils. Par exemple, Kaspersky Premium envoie des alertes en temps réel concernant les comportements suspects des logiciels et bloque instantanément les menaces. Pour couronner le tout, l’abonnement Kaspersky Premium comprend un VPN sécurisé et fiable.
N’oubliez pas que les mineurs de cryptomonnaies malveillants ne ciblent pas uniquement les ordinateurs, mais s’attaquent également aux smartphones, en se faisant souvent passer pour des jeux mobiles populaires ou des applications officielles de services publics. Pour en savoir plus, consultez nos articles précédents :
- Un cheval de Troie Android se fait passer pour des services gouvernementaux et des applications Starlink
- Que se passe-t-il si vous téléchargez un programme piraté ?
- Le revers du minage : comment des cybercriminels contraignent des youtubeurs à promouvoir des programmes malveillants
- Mario Forever, également une application malveillante : un jeu gratuit avec un mineur et un cheval de Troie
cryptomonnaie
Conseils