هکرها از Hola Browser برای استخراج مخفیانه ارز دیجیتال سوءاستفاده کردند

02 تیر 1405 هکرها از Hola Browser برای استخراج مخفیانه ارز دیجیتال سوءاستفاده کردند

در اوایل ماه ژوئن، محققان امنیت سایبری کشف کردند که نسخه‌ای آلوده از Hola Browser for Windows (نسخه 1.251.91.0) به‌صورت مخفیانه یک ماینر Monero را روی سیستم کاربران دانلود می‌کند.

مدت کوتاهی پس از انتشار این گزارش، شرکت Hola تأیید کرد که قربانی یک حمله زنجیره تأمین شده است.

در این مقاله بررسی می‌کنیم این حمله چگونه انجام شده، ماینر مورد استفاده چگونه عمل می‌کند و این اتفاق چه پیامدهایی برای کاربران تحت تأثیر داشته است.

Hola Browser چیست و بدافزار چگونه کشف شد؟

شرکت اسرائیلی Hola بیشتر به خاطر سرویس VPN خود شناخته می‌شود؛ سرویسی که کاربران عمدتاً برای دور زدن محدودیت‌های جغرافیایی و دسترسی به محتوای محدودشده بر اساس موقعیت مکانی از آن استفاده می‌کنند.

علاوه بر VPN، این شرکت مرورگر Hola Browser را نیز توسعه می‌دهد؛ مرورگری مبتنی بر Chromium که قابلیت‌های VPN و Proxy را به‌صورت داخلی در اختیار کاربران قرار می‌دهد.

محققان امنیتی نخستین نشانه‌های این آلودگی را در جریان یکی از بررسی‌های استاندارد برنامه AppEsteem Windows Certified Application شناسایی کردند.

در این فرآیند، شرکت‌های مستقل امنیت سایبری نرم‌افزارها را بررسی می‌کنند تا اطمینان حاصل شود تنها شامل اجزای اعلام‌شده هستند و هیچ قابلیت ناخواسته یا مخربی در آن‌ها وجود ندارد.

حتی پس از دریافت گواهی، نرم‌افزارها به‌طور منظم مجدداً ارزیابی می‌شوند تا همچنان با الزامات AppEsteem مطابقت داشته باشند.

در یکی از همین بررسی‌های دوره‌ای، کارشناسان متوجه شدند فایل ناشناخته‌ای همراه با نسخه 1.251.91.0 مرورگر Hola Browser برای Windows نصب می‌شود.

پس از نصب، این فایل در مسیر زیر ذخیره می‌شد:

C:\Program Files\Hola\me.exe

این فایل به دلایل مختلفی مشکوک به نظر می‌رسید:

  • در فهرست فایل‌های تأییدشده برنامه وجود نداشت.
  • فاقد Timestamp بود.
  • امضای دیجیتال نداشت.
  • کد آن به‌شدت مبهم‌سازی (Obfuscation) شده بود.
  • قابلیت تزریق مستقیم به حافظه سیستم را داشت.

نکته جالب این بود که این فایل در تمامی نصب‌ها مشاهده نمی‌شد.

از آنجا که آلودگی تنها بخشی از کاربران را تحت تأثیر قرار داده بود، محققان حدس زدند یکی از مراحل زنجیره توزیع Hola Browser مورد نفوذ قرار گرفته است.

Hola بعداً این موضوع را تأیید و اعلام کرد که قربانی یک حمله زنجیره تأمین شده است.

بررسی‌های بیشتر نشان داد فایل me.exe در واقع یک ماینر مخفی ارز دیجیتال Monero است.

مهاجمان چگونه از Hola Browser برای استخراج Monero استفاده کردند؟

ماینرهای ارز دیجیتال برنامه‌هایی هستند که از توان پردازشی سیستم برای استخراج ارزهای دیجیتال استفاده می‌کنند.

برخی کاربران این نرم‌افزارها را آگاهانه نصب می‌کنند، اما زمانی که بدون اطلاع کاربر روی سیستم اجرا شوند، به‌عنوان نرم‌افزار ناخواسته یا مخرب شناخته می‌شوند.

اجرای مخفیانه ماینر می‌تواند:

  • سرعت سیستم را کاهش دهد
  • مصرف برق را افزایش دهد
  • عمر سخت‌افزار را کوتاه‌تر کند

البته چنین ماینرهایی معمولاً ارز دیجیتال قربانی را سرقت نمی‌کنند، بلکه تنها از منابع پردازشی سیستم برای کسب درآمد مهاجمان استفاده می‌کنند.

چرا Monero؟

بدافزاری که همراه Hola Browser توزیع شده بود برای استخراج Monero طراحی شده بود.

Monero در سال 2014 و بر پایه پروتکل CryptoNote معرفی شد و در حال حاضر هر واحد آن حدود 330 دلار ارزش دارد.

اگرچه Monero به اندازه Bitcoin یا Ethereum شناخته‌شده نیست، اما یک ویژگی بسیار مهم دارد:

حریم خصوصی

برخلاف Bitcoin و Ethereum که تراکنش‌های آن‌ها در بلاک‌چین عمومی قابل مشاهده است، Monero از فناوری‌های رمزنگاری پیشرفته برای پنهان کردن:

  • فرستنده
  • گیرنده
  • مبلغ تراکنش

استفاده می‌کند.

همین ویژگی باعث شده Monero به گزینه محبوب مجرمان سایبری برای استخراج مخفیانه تبدیل شود، زیرا ردیابی درآمد حاصل از آن بسیار دشوارتر است.

مزیت دیگر Monero این است که الگوریتم آن برای استخراج توسط پردازنده‌های معمولی (CPU) بهینه شده است و برخلاف بسیاری از ارزهای دیجیتال دیگر، نیازی به کارت‌های گرافیکی قدرتمند یا تجهیزات ASIC ندارد.

ماینر چگونه روی سیستم فعال می‌شد؟

بررسی فایل مخرب me.exe نشان داد که این برنامه ابتدا خود را به فهرست استثناهای Microsoft Defender اضافه می‌کند.

به این ترتیب، آنتی‌ویروس داخلی Windows دیگر فعالیت آن را بررسی نمی‌کند و ماینر می‌تواند بدون مزاحمت در پس‌زمینه اجرا شود.

سپس برنامه نسخه‌ای از خود را با نام:

HolaMonitorService.exe

ایجاد می‌کرد و یک سرویس Windows با نام:

hola_monitor_svc

را ثبت می‌کرد.

این اقدام باعث می‌شد بدافزار پس از هر بار راه‌اندازی مجدد سیستم به‌صورت خودکار اجرا شود.

برای جلوگیری از جلب توجه کاربر، ماینر بلافاصله فعال نمی‌شد و تنها زمانی شروع به استخراج می‌کرد که سیستم در حالت Idle قرار داشت و کاربر از آن استفاده نمی‌کرد.

چگونه از سیستم خود در برابر ماینرها و بدافزارها محافظت کنیم؟

تیم توسعه Hola پس از دریافت گزارش‌های اولیه، به‌سرعت به این موضوع واکنش نشان داد.

این شرکت وقوع حمله زنجیره تأمین را تأیید کرد اما اعلام کرد که تنها حدود 0.1 درصد از کاربران تحت تأثیر این حادثه قرار گرفته‌اند.

همچنین Hola اعلام کرده است که فرآیند توزیع به‌روزرسانی‌های خود را تقویت کرده تا از این پس فقط فایل‌های تأییدشده، دارای امضای دیجیتال و معتبر در اختیار کاربران قرار گیرند.

توصیه‌های امنیتی

در پی این حادثه، به تمامی کاربران Hola Browser توصیه می‌شود:

  • در اسرع وقت مرورگر خود را به آخرین نسخه به‌روزرسانی کنند.
  • به‌ویژه در سیستم‌های Windows، از نصب آخرین نسخه اطمینان حاصل کنند.

این حادثه بار دیگر نشان می‌دهد که به‌روزرسانی مداوم نرم‌افزارها تا چه اندازه اهمیت دارد.

همچنین استفاده از یک راهکار امنیتی قدرتمند می‌تواند نقش مهمی در شناسایی و جلوگیری از چنین تهدیداتی داشته باشد.

برای مثال، راهکارهای امنیتی کسپرسکی قادرند رفتارهای مشکوک نرم‌افزارها را به‌صورت لحظه‌ای شناسایی کرده و پیش از آسیب رسیدن به سیستم، آن‌ها را مسدود کنند. علاوه بر این، برخی از این راهکارها شامل VPN امن و قابل اعتماد نیز هستند که می‌تواند امنیت کاربران را هنگام استفاده از اینترنت افزایش دهد.

محصولات مرتبط

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد