En komprometterad uppdatering för Hola Browser utsatte Windows-användare för en kampanj med kryptomineringsskadlig kod efter att angripare manipulerat ett officiellt mjukvarupaket.
Forskare upptäckte att hotaktörer hade infogat en kryptominerare i en installationsfil för Hola Browser som distribuerades till användare. Eftersom skadlig kod levererades genom en legitim uppdateringskanal hade de drabbade användarna få skäl att misstänka att något var fel under installationen.
Händelsen belyser det växande hotet från attacker mot mjukvaruförsörjningskedjan, där kriminella komprometterar betrodda programvaruleverantörer och använder legitima distributionskanaler för att sprida skadlig kod.
Angriparna modifierade ett officiellt installationspaket
Enligt forskarna kretsade den skadliga aktiviteten kring ett Windows-installationsprogram som distribuerades genom Hola Browsers infrastruktur. Användare som laddade ned det påverkade paketet installerade ovetande kryptomineringsprogramvara tillsammans med webbläsaren.
Kryptomineraren började därefter använda systemresurser för att generera kryptovaluta åt angriparna. Offren kan ha märkt ovanligt hög processoranvändning, ökad energiförbrukning, försämrad systemprestanda eller överhettade enheter.
Eftersom skadlig kod kom från en betrodd källa uppstod inte de vanliga varningssignalerna som ofta förknippas med misstänkta nedladdningar.
Denna metod gjorde det möjligt för angriparna att dölja sin aktivitet bakom vad som såg ut som en rutinmässig programvaruinstallation.
Kryptomineraren förbrukade offrens resurser
Kryptomineringsskadlig kod genererar intäkter genom att använda infekterade system för att utföra beräkningar kopplade till kryptovalutor. Även om dessa hot ofta arbetar tyst i bakgrunden kan de påverka enheternas prestanda avsevärt.
Infekterade datorer upplever ofta långsammare hastigheter, ökad fläktaktivitet och högre elförbrukning. Långvariga infektioner kan också belasta hårdvarukomponenter ytterligare.
Till skillnad från ransomware-attacker, som omedelbart avslöjar sin närvaro, prioriterar kryptominerare ofta att förbli oupptäckta. Angriparna tjänar på att infektionerna förblir aktiva under lång tid eftersom de då kan fortsätta använda offrens resurser utan avbrott.
Forskarna bedömer att angriparna bakom kampanjen fokuserade på att behålla åtkomsten tillräckligt länge för att maximera vinsterna från kryptomineringen.
Hot mot försörjningskedjan fortsätter att öka
Incidenten med Hola Browser visar varför attacker mot mjukvaruförsörjningskedjan fortsatt är ett allvarligt problem för både organisationer och privatpersoner. När angripare komprometterar en betrodd programvaruleverantör kan de nå ett stort antal användare genom legitima uppdateringsmekanismer.
Säkerhetsteam övervakar i allt högre grad mjukvaruförsörjningskedjor eftersom en enda kompromettering kan påverka tusentals system. Även användare som följer säkra rutiner för nedladdningar kan bli offer om angripare lyckas infiltrera en betrodd distributionskanal.
Händelsen fungerar som ännu en påminnelse om att cyberkriminella ständigt söker nya sätt att missbruka etablerade förtroenderelationer inom programvaruekosystemet.
Slutsats
Hola Browser-kryptominerkampanjen visar hur angripare kan förvandla betrodda programuppdateringar till distributionsmekanismer för skadlig kod. Genom att kompromettera ett officiellt Windows-installationspaket spred hotaktörerna kryptomineringsskadlig kod genom en kanal som användare normalt litar på. I takt med att attacker mot försörjningskedjan blir allt vanligare ökar pressen på både programvaruleverantörer och användare att stärka säkerheten kring uppdateringar och upptäcka obehöriga förändringar innan angripare kan utnyttja dem.
0 svar till ”Hola Browser-kryptominare spreds via komprometterad uppdatering”