A versão Windows do navegador Hola foi comprometida em um ataque à cadeia de suprimentos que inseriu um minerador de criptomoedas Monero no software. O malware, detectado pela Sophos e pela Sygnia durante testes de certificação, cria um serviço do Windows que opera quando o computador está ocioso. A Hola confirmou o comprometimento.
Como o cryptominer opera
O executável malicioso, chamado “me.exe”, foi instalado no diretório C:\Program Files\Hola\ sem assinatura digital, sem carimbo de tempo e sem certificação. O arquivo continha código ofuscado com capacidades de escrita em memória, o que dificultava a análise por ferramentas de segurança tradicionais.
Após a execução, o malware segue uma sequência de ações para se estabelecer no sistema. Primeiro, adiciona uma regra de exclusão no Windows Defender, impedindo que o antivírus nativo detecte seus arquivos. Em seguida, copia a si mesmo para a pasta Program Files com o nome HolaMonitorService.exe e cria um serviço do Windows chamado hola_monitor_svc com inicialização automática. O minerador só entra em atividade quando o computador está ocioso, dificultando que o usuário perceba o consumo anormal de recursos.
Análise de strings embarcadas no binário confirmou que se trata de um minerador de Monero (XMR), criptomoeda frequentemente usada em operações de cryptojacking por sua dificuldade de rastreamento.
Detecção e resposta da Hola
O comprometimento foi identificado durante testes periódicos de certificação da AppEsteem, realizados pela Sophos e por outras empresas de cibersegurança. A firma Sygnia detectou a ameaça de forma independente, reforçando a gravidade do incidente. A Hola confirmou a falha e afirmou que aproximadamente 0,1% dos usuários foram afetados.
Em comunicado oficial, o CEO da Hola, Avi Raz Cohen, declarou que a empresa reconstruiu completamente seu pipeline de distribuição, implementou verificação avançada de assinatura de código e introduziu controles de acesso mais rígidos com monitoramento contínuo da infraestrutura. A empresa afirmou não ter evidências de acesso, roubo ou comprometimento de dados de usuários.
| Indicador de comprometimento | Detalhe |
|---|---|
| Arquivo original | me.exe (não assinado) |
| Cópia persistente | HolaMonitorService.exe em Program Files |
| Serviço criado | hola_monitor_svc (auto-start) |
| Exclusão no Defender | Regra adicionada para ignorar o diretório |
| Criptomoeda minerada | Monero (XMR) |
| Condição de ativação | Computador ocioso |
Histórico de controvérsias
Esta não é a primeira vez que a Hola enfrenta questões de segurança. A empresa israelense, conhecida pelo serviço de VPN Hola VPN, já esteve no centro de polêmicas por operar a Luminati Networks, uma rede que transformava usuários gratuitos em proxies para clientes corporativos sem transparência adequada. O navegador afetado é baseado no Chromium e oferece funcionalidade de VPN e proxy integrada.
O padrão de ataque à cadeia de suprimentos tem se mostrado recorrente, com invasores comprometendo canais de distribuição de software legítimo para entregar cargas maliciosas a milhares de usuários. Casos recentes como o IronWorm no npm mostram que nem desenvolvedores nem usuários finais estão imunes.
Como detectar e remover
Usuários do Hola Browser para Windows devem verificar a presença dos seguintes indicadores no sistema: o arquivo HolaMonitorService.exe na pasta Program Files da Hola e o serviço hola_monitor_svc no gerenciador de serviços do Windows. Caso encontrados, recomenda-se desinstalar o navegador, remover o serviço e executar uma verificação completa com um antivírus atualizado.
Além disso, verifique as exclusões configuradas no Windows Defender acessando “Segurança do Windows” > “Proteção contra vírus e ameaças” > “Gerenciar configurações” > “Exclusões”. Regras de exclusão desconhecidas devem ser removidas imediatamente.
Empresas de segurança recomendam que usuários afetados atualizem o navegador para a versão mais recente, já que a Hola afirma ter corrigido o pipeline de distribuição. No entanto, dada a natureza do comprometimento, a reinstalação limpa após remoção completa é a abordagem mais segura.