AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Comprometida la versión de Windows de Hola Browser tras un ataque a la cadena de suministro con minería de criptomonedas**

admin

### 1. Introducción

En las últimas horas se ha confirmado la existencia de un grave incidente de seguridad que afecta a la versión para Windows del navegador Hola Browser. Diversos equipos de investigación en ciberseguridad han detectado que la cadena de suministro de este software fue comprometida, resultando en la distribución de un ejecutable malicioso oculto. El componente introducido no declarado ha sido identificado como un cryptominer, que explota los recursos de las víctimas para la minería de criptomonedas sin su consentimiento. Este incidente representa un riesgo significativo para cualquier organización o usuario que haya instalado la versión afectada del navegador.

### 2. Contexto del Incidente

El ataque se enmarca dentro de la tendencia creciente de amenazas dirigidas a la cadena de suministro, donde los actores maliciosos comprometen software legítimo en origen o durante el proceso de distribución, inyectando componentes maliciosos en versiones aparentemente oficiales. En este caso, la versión para Windows de Hola Browser –un navegador conocido por su enfoque en la privacidad y el uso de redes peer-to-peer– habría sido modificada para entregar código malicioso junto con la aplicación legítima.

El incidente fue detectado por investigadores tras analizar archivos de instalación descargados directamente desde el sitio web oficial de Hola Browser. Según la cronología publicada, el compromiso habría comenzado a principios de junio de 2024, afectando únicamente a los usuarios que descargaron o actualizaron el navegador durante este periodo.

### 3. Detalles Técnicos

La amenaza identificada corresponde a la inclusión de un ejecutable no documentado durante el proceso de instalación. Dicho ejecutable, tras su análisis, resultó ser un cryptominer diseñado para minar criptomonedas como Monero (XMR), aprovechando la CPU y, en algunos casos, la GPU del sistema infectado.

**Vectores de Ataque y TTPs**

– **Vector:** Compromiso de la cadena de suministro a través de la manipulación de instaladores legítimos.
– **TTP MITRE ATT&CK:**
– T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain).
– T1496 (Resource Hijacking).
– T1059 (Command and Scripting Interpreter).
– **Indicadores de Compromiso (IoC):**
– Hashes SHA256 del ejecutable malicioso publicados por los investigadores.
– Comunicaciones salientes hacia pools de minería de Monero mediante protocolo Stratum, observables en el tráfico de red.
– Creación de procesos hijos (por ejemplo, *xmrig.exe*) tras la instalación.
– **CVE asociada:** Aunque no se ha asignado un CVE específico, el caso se relaciona con el abuso de la cadena de suministro, catalogado como riesgo crítico según OWASP Top 10 (A08:2021).

En cuanto a las versiones afectadas, los informes técnicos señalan que los instaladores de Hola Browser para Windows descargados entre el 1 y el 7 de junio de 2024 son los portadores del malware. No se han detectado compromisos similares en las versiones de macOS, Linux ni en extensiones para navegadores.

### 4. Impacto y Riesgos

El impacto principal es el uso no autorizado de los recursos computacionales de los sistemas afectados, lo que conlleva degradación del rendimiento, aumento del consumo energético y posibles daños al hardware por sobrecalentamiento. En entornos corporativos, este tipo de actividad puede derivar en costes significativos, interrupciones de servicio y exposición a sanciones regulatorias, especialmente si se produce la exfiltración de datos o el movimiento lateral de amenazas internas.

Según las estimaciones iniciales, entre 40.000 y 60.000 descargas podrían haber sido afectadas durante la ventana de compromiso, incluyendo dispositivos personales y estaciones de trabajo corporativas. Aunque el objetivo aparente es la minería, la presencia de un ejecutable malicioso no declarado abre la puerta a la ejecución de cargas útiles adicionales o a la instalación de puertas traseras persistentes.

### 5. Medidas de Mitigación y Recomendaciones

– **Desinstalación inmediata:** Eliminar la versión comprometida de Hola Browser en todos los endpoints.
– **Análisis forense:** Revisar logs de instalación, procesos activos y tráfico de red en busca de IoCs asociados.
– **Actualización y verificación:** Instalar únicamente versiones verificadas y firmadas digitalmente. Se recomienda esperar un comunicado oficial que certifique la integridad de futuras versiones.
– **Monitorización:** Implementar reglas de detección específicas en EDR/SIEM para identificar procesos de minería y conexiones a pools conocidos.
– **Comunicación a usuarios:** Informar a los empleados y usuarios sobre el incidente, especialmente en entornos regulados por GDPR y NIS2.

### 6. Opinión de Expertos

Analistas de seguridad como Costin Raiu (Kaspersky) y Jake Williams (SANS) señalan que este tipo de ataques pone de relieve la necesidad de controles de integridad en la cadena de suministro y la verificación de hashes y firmas digitales antes del despliegue de software. Destacan que la minería suele ser solo el primer paso, pues la misma técnica podría emplearse para instalar ransomware, stealers o backdoors en campañas futuras.

### 7. Implicaciones para Empresas y Usuarios

Para empresas, el incidente subraya la importancia de políticas estrictas de control de aplicaciones y whitelisting, así como la actualización continua de procedimientos de adquisición y despliegue de software. Los usuarios finales deben extremar la precaución al instalar navegadores o utilidades desde fuentes no verificadas, incluso si se trata de sitios web oficiales. La exposición a este tipo de compromisos puede suponer violaciones de privacidad, brechas regulatorias bajo el GDPR y potencialmente la obligación de notificar incidentes a la AEPD.

### 8. Conclusiones

El compromiso de la versión de Windows de Hola Browser ilustra los riesgos inherentes a la cadena de suministro en el desarrollo y distribución de software. La rápida detección y respuesta son claves para limitar el impacto, pero la amenaza persistirá mientras las organizaciones no adopten controles más estrictos y monitorización continua. Se espera que este incidente motive una revisión de los procesos de verificación y distribución en la industria, así como una mayor concienciación sobre la importancia de la cadena de suministro en la ciberseguridad moderna.

(Fuente: www.bleepingcomputer.com)