Hola Browser : un mineur de cryptomonnaie livré par sa chaîne officielle après une intrusion

La version Windows 1.251.91.0 du navigateur Hola a livré, par son canal officiel, un fichier exécutable non déclaré conçu pour puiser les ressources de la machine afin de miner de la cryptomonnaie. L’incident, révélé par des analyses de sécurité, a conduit l’éditeur à reconnaître une intrusion dans sa chaîne de distribution, désormais corrigée.

Un exécutable malveillant dissimulé dans l’installateur

Le fichier incriminé, nommé me.exe, a été repéré dans le dossier d’installation du navigateur. Sophos, qui a procédé à son examen, indique que cet exécutable ne figurait dans aucun inventaire certifié, qu’il était dépourvu de signature numérique et d’horodatage, et qu’il utilisait du code obfusqué doté de capacités d’écriture en mémoire. L’analyse du binaire a révélé une référence à XMRig, un logiciel libre fréquemment détourné pour miner du Monero (XMR) sans le consentement du propriétaire de l’appareil.

Une fois lancé avec des droits administrateur, me.exe modifiait la configuration de Microsoft Defender pour se soustraire aux analyses antivirus. Il se copiait ensuite dans le répertoire *C:\Program Files\Hola* sous le nom HolaMonitorService.exe, puis créait un service Windows intitulé hola_monitor_svc, configuré pour un démarrage automatique. Le mineur n’activait ses calculs que pendant les périodes d’inactivité de la machine, afin de passer inaperçu tout en exploitant la puissance de calcul du processeur.

Une compromission ciblée et non massive

Sophos précise que le fichier malveillant n’a pas été observé à chaque installation ou mise à jour du navigateur. Cette observation écarte l’hypothèse d’un unique installateur corrompu distribué à tous les utilisateurs ; elle oriente plutôt vers une altération à un stade particulier du processus de livraison des mises à jour ou de l’installateur lui-même. Hola, de son côté, a confirmé avoir détecté une activité anormale dans cette chaîne de distribution, qu’elle a immédiatement interrompue puis entièrement révisée. L’éditeur affirme que moins de 0,1 % de la base d’utilisateurs aurait été affecté, et qu’aucune donnée personnelle n’aurait été consultée, exfiltrée ou compromise.

Des mesures de vérification et de nettoyage recommandées

Pour les personnes qui auraient utilisé Hola Browser sur Windows durant la période concernée, il est conseillé de désinstaller le navigateur via les paramètres système, puis de redémarrer la machine. Si le dossier *C:\Program Files\Hola* subsiste, il convient de vérifier qu’il ne contient plus ni me.exe ni HolaMonitorService.exe. Du côté des services Windows, une recherche du service hola_monitor_svc doit être effectuée ; le cas échéant, il faut l’arrêter et supprimer son entrée avec la commande sc delete hola_monitor_svc lancée dans un terminal avec droits d’administration. Enfin, il est recommandé d’inspecter les exclusions de Microsoft Defender pour révoquer toute règle liée à Hola, puis d’exécuter une analyse antivirus complète du système.

Hola Browser pour Windows a diffusé un mineur de cryptomonnaie après une intrusion dans sa chaîne de livraison

À lire ensuite

S&P Dow Jones maintient ses règles d’entrée des méga-IPO inchangées

Microsoft présente Scout, son nouvel assistant IA autonome basé sur OpenClaw

Incendie de Crans-Montana : la mère d'une victime réclame des explications aux époux Moretti

La déroute des marchés coréens entraîne les actifs des pays émergents