En kompromitteret opdatering til Hola Browser udsatte Windows-brugere for en kryptomineringskampagne, efter at angribere manipulerede en officiel softwarepakke.
Forskere opdagede, at trusselsaktører havde indsat en kryptominer i en installationsfil til Hola Browser, som blev distribueret til brugere. Fordi malwaren blev leveret gennem en legitim opdateringskanal, havde de berørte brugere kun få grunde til at mistænke, at noget var galt under installationen.
Hændelsen understreger den voksende trussel fra angreb på softwareforsyningskæden, hvor kriminelle kompromitterer betroede softwareleverandører og bruger legitime distributionskanaler til at levere ondsindet kode.
Angriberne modificerede et officielt installationsprogram
Ifølge forskerne var den ondsindede aktivitet centreret omkring et Windows-installationsprogram, der blev distribueret gennem Hola Browsers infrastruktur. Brugere, der downloadede den berørte pakke, installerede uforvarende kryptomineringssoftware sammen med browseren.
Kryptomineren begyndte derefter at bruge systemressourcer til at generere kryptovaluta til angriberne. Ofrene kan have bemærket usædvanligt høj processorbelastning, øget strømforbrug, reduceret systemydelse eller overophedede enheder.
Da malwaren kom fra en betroet kilde, opstod de traditionelle advarselstegn, som ofte forbindes med mistænkelige downloads, ikke.
Denne metode gjorde det muligt for angriberne at skjule den ondsindede aktivitet bag det, der lignede en rutinemæssig softwareinstallation.
Kryptomineren brugte ofrenes ressourcer
Kryptomineringsmalware genererer indtægter ved at bruge inficerede systemer til at udføre kryptovalutaberegninger. Selvom disse trusler ofte arbejder lydløst i baggrunden, kan de påvirke enhedens ydeevne betydeligt.
Inficerede computere oplever ofte lavere hastighed, øget blæseraktivitet og højere elforbrug. Langvarige infektioner kan også lægge ekstra pres på hardwarekomponenter.
I modsætning til ransomware-angreb, som straks afslører deres tilstedeværelse, prioriterer kryptominere ofte at forblive skjulte. Angriberne drager fordel af, at infektionerne forbliver aktive i længere perioder, fordi de kan fortsætte med at udnytte ofrenes ressourcer uden afbrydelser.
Forskerne mener, at angriberne bag kampagnen fokuserede på at bevare adgangen længe nok til at maksimere profitten fra kryptomineringen.
Trusler mod softwareforsyningskæden fortsætter med at vokse
Hola Browser-hændelsen viser, hvorfor angreb på softwareforsyningskæden fortsat er en alvorlig bekymring for både organisationer og privatpersoner. Når angribere kompromitterer en betroet softwareleverandør, kan de nå et stort antal brugere gennem legitime opdateringsmekanismer.
Sikkerhedsteams overvåger i stigende grad softwareforsyningskæder, fordi én enkelt kompromittering kan påvirke tusindvis af systemer. Selv brugere, der følger sikre downloadrutiner, kan blive ofre, hvis angribere infiltrerer en betroet distributionskanal.
Hændelsen fungerer som endnu en påmindelse om, at cyberkriminelle fortsætter med at lede efter nye måder at misbruge etablerede tillidsforhold i softwareøkosystemet.
Konklusion
Hola Browser-kryptominerkampagnen viser, hvordan angribere kan forvandle betroede softwareopdateringer til distributionsmekanismer for malware. Ved at kompromittere et officielt Windows-installationsprogram spredte trusselsaktørerne kryptomineringsmalware gennem en kanal, som brugerne normalt har tillid til. Efterhånden som angreb på softwareforsyningskæden fortsætter med at stige, står både softwareleverandører og brugere over for et voksende pres for at styrke sikkerheden omkring opdateringer og opdage uautoriserede ændringer, før angriberne kan udnytte dem.
0 svar til “Hola Browser-kryptominer distribueret gennem kompromitteret opdatering”