Ciberdelincuentes secuestraron Hola Browser para minar criptomonedas en secreto

A principios de junio, investigadores de ciberseguridad descubrieron que una versión vulnerada del navegador israelí Hola Browser para Windows (versión 1.251.91.0) estaba descargando en secreto un minero de criptomonedas Monero en los dispositivos de los usuarios. Poco después del descubrimiento, Hola confirmó que había sido víctima de un ataque a la cadena de suministro. En este artículo, desglosamos cómo se produjo el ataque, cómo funciona el minero de criptomonedas y qué significa para los usuarios afectados.

¿Qué es Hola Browser y cómo se descubrió el malware?

La empresa israelí Hola es reconocida por su servicio de VPN, que los usuarios utilizan principalmente para eludir restricciones geográficas y acceder a contenido bloqueado por región. Además de la VPN, la empresa desarrolla Hola Browser, un navegador basado en Chromium que viene con funciones de proxy y VPN integradas.

Los investigadores detectaron por primera vez signos de problemas durante una verificación de cumplimiento estándar para el programa AppEsteem Windows Certified Application. Como parte de este proceso de certificación, empresas independientes de ciberseguridad auditan el software para asegurarse de que solo contenga los componentes que afirma tener y que no tenga funciones no deseadas o maliciosas. Incluso después de que se otorga un certificado, las aplicaciones se reevalúan con regularidad para garantizar que siguen cumpliendo con las estrictas directrices de AppEsteem.

Durante una de estas verificaciones de seguimiento rutinarias, los expertos notaron un archivo no autorizado que se vinculaba con la versión 1.251.91.0 de Hola Browser para Windows. Una vez instalado, el archivo se guardaba en el disco duro en C:\Archivos de programa\Hola\me{.}exe. El archivo inmediatamente levantó sospechas debido a una larga lista de características sospechosas: no estaba en la lista de archivos de la aplicación aprobados, carecía de una marca de tiempo y no tenía firma digital. Además de eso, su código estaba muy ofuscado y tenía la capacidad de inyectarse directamente en la memoria del sistema.

Curiosamente, los investigadores notaron que el archivo no aparecía en todas las instalaciones. Debido a que la infección no se extendía a todos los usuarios, los expertos sospecharon desde el principio que se había vulnerado una etapa específica del proceso de distribución de Hola Browser. Más tarde, Hola confirmó esta teoría, ya que admitió que había sido víctima de un ataque a la cadena de suministro.

En cuanto al archivo me{.}exe sospechoso, un análisis más detallado reveló que era un minero de criptomonedas sigiloso configurado para minar Monero. Ahora nos sumergiremos en los detalles técnicos de su funcionamiento.

¿Cómo usaron los atacantes Hola Browser para minar Monero?

Los mineros de criptomonedas son programas que aprovechan la potencia de procesamiento de un ordenador para minar criptomonedas. Si bien algunos usuarios instalan este software intencionalmente para generar un poco de ingresos, los mineros que se ejecutan en una máquina sin el conocimiento del propietario, por lo general se clasifican como no deseados.

Ejecutar un minero oculto puede ralentizar notablemente el dispositivo, encarecer la factura de electricidad del usuario y acortar la vida útil del hardware. Dicho esto, vale la pena señalar que una infección por minero de criptomonedas en realidad no roba la criptomoneda del propietario; el daño se limita estrictamente a que los secuestradores roban los recursos de hardware de tu ordenador para llenarse los bolsillos.

Como mencionamos antes, la descarga maliciosa incluida con Hola Browser infiltró un minero de criptomonedas Monero en los dispositivos de las víctimas. Lanzado en 2014 y desarrollado sobre el protocolo CryptoNote, Monero actualmente se cotiza en alrededor de 330 USD por moneda.

En comparación con pesos pesados como Bitcoin o Ethereum, Monero es un poco exótico y menos conocido para el público en general. Esta exclusividad se muestra en su crecimiento de precios relativamente modesto y una capitalización de mercado más pequeña, que es aproximadamente 200 veces más baja que la de Bitcoin. Sin embargo, Monero tiene una característica que lo define: la privacidad. Mientras que Bitcoin y Ethereum operan en cadenas de bloques públicas y completamente transparentes, donde cualquiera puede rastrear las transacciones, Monero es una “moneda de privacidad”. Utiliza mecanismos criptográficos avanzados para enmascarar el remitente, el receptor y los montos de la transacción. Este anonimato extremo es exactamente la razón por la que los ciberdelincuentes aman los mineros ocultos de Monero: hace que sea difícil para los profesionales de la ciberseguridad y el orden público seguir el rastro del dinero.

Además, el algoritmo subyacente de Monero está diseñado explícitamente para minar de manera eficiente con procesadores de ordenadores estándar (CPU). Esto contrasta fuertemente con muchas otras criptomonedas populares, que requieren hardware ASIC especializado o tarjetas gráficas (GPU) de alta gama para ser rentables.

Veamos más de cerca cómo se materializó esto en Hola Browser. Cuando los investigadores analizaron el código malicioso me{.}exe, descubrieron que estaba añadiendo automáticamente sus propios archivos a la lista de exclusión de Microsoft Defender. Al permitirse en la lista, el malware cegó con éxito el antivirus integrado de Windows, lo que permitió que el minero de criptomonedas se ejecutara en segundo plano sin obstáculos.

Una vez dentro, el programa hizo una copia de sí mismo con el nombre HolaMonitorService{.}exe y configuró un servicio persistente de Windows en segundo plano llamado hola_monitor_svc. Esta maniobra permitió al malware atrincherarse en el sistema y ejecutarse automáticamente cada vez que se reiniciaba el ordenador. Para no levantar sospechas con caídas repentinas y masivas de rendimiento, se programó al minero para permanecer latente y ponerse en marcha solo cuando el ordenador estaba inactivo.

Cómo proteger tu dispositivo de los mineros de criptomonedas y el malware

Hay que reconocer que el equipo de desarrollo de Hola respondió rápidamente a los informes iniciales del archivo sospechoso. Confirmaron la vulneración de la cadena de suministro, pero declararon que el incidente solo afectó al 0,1 % de su base de usuarios. Desde entonces, la empresa ha reforzado la seguridad en torno a su canal de distribución de actualizaciones para garantizar que los usuarios solo reciban componentes de software aprobados, certificados y firmados digitalmente en el futuro.

A la luz de este incidente, recomendamos encarecidamente que todos los usuarios de Hola Browser instalen la última versión de inmediato, en especial aquellos que ejecutan la aplicación en Windows.

En términos más generales, esta situación es un recordatorio de por qué es tan importante mantener todo tu software actualizado y ejecutar una solución robusta de ciberseguridad en todos tus dispositivos. Por ejemplo, Kaspersky Premium proporciona alertas en tiempo real sobre el comportamiento de software sospechoso y bloquea las amenazas al instante. Como ventaja adicional, una suscripción a Kaspersky Premium incluye una VPN segura y fiable.

No olvides que los mineros de criptomonedas maliciosos no solo apuntan a los ordenadores; también van tras los teléfonos inteligentes, a menudo disfrazándose como cualquier cosa, desde juegos móviles populares hasta aplicaciones de servicios oficiales del gobierno. Consulta nuestras publicaciones anteriores para obtener más información:

• Troyano para Android que se hace pasar por servicios gubernamentales y aplicaciones de Starlink
• ¿Qué pasa si descargo un programa crackeado?
• Inconvenientes de los mineros: cómo los ciberdelincuentes chantajean a los YouTubers para que promocionen el malware
• Mario Forever, alerta de malware: Un juego gratuito con un minero y troyanos en su interior