### Hola Browser bei Lieferkettenangriff kompromittiert Die Windows-Version des **Hola Browser** wurde bei einem Lieferkettenangriff kompromittiert. Diese Sicherheitslücke führte zur heimlichen Auslieferung einer nicht deklarierten ausführbaren Datei, die von Forschern später als Kryptowährungs-Miner identifiziert wurde. Diese Kompromittierung wurde ursprünglich während periodischer Zertifizierungsprüfungen des **Hola Browser** im Rahmen des **AppEsteem**-Zertifizierungstestverfahrens aufgedeckt, ein Standard, den er zuvor erfüllt hatte. ### Das Hola-Ökosystem: VPN und Browser **Hola** ist ein israelisches Unternehmen, das hauptsächlich für **Hola VPN** bekannt ist, einen Dienst, der es Benutzern ermöglicht, geografische Einschränkungen zu umgehen, indem der Internetverkehr über die Geräte anderer Benutzer oder kostenpflichtige Proxy-Infrastrukturen geleitet wird. Der **Hola Browser**, der auf **Chromium** basiert, integriert diese VPN- und Proxy-Funktionalität direkt. Historisch gesehen standen **Hola** und seine Produkte aufgrund undurchsichtiger Praktiken bei der Verkehrsverarbeitung unter Beobachtung, insbesondere im Hinblick auf seinen kommerziellen Dienst **Luminati Networks**, der kostenlose Benutzer kontrovers zu Proxys machte. ### Der Kryptominer unter der Lupe: 'me.exe' Während jüngster Integritätsprüfungen von Apps entdeckten Cybersicherheitsfirmen, darunter **Sophos**, eine nicht deklarierte ausführbare Datei namens 'me.exe', die in einigen Fällen unter `C:\Program Files\Hola\` installiert wurde. Diese Datei wies keine Zertifizierung, keinen Zeitstempel und keine digitale Signatur auf. Darüber hinaus enthielt sie verschleierten Code und zeigte Fähigkeiten zur Speicherbeschreibung. Nach eingehender Prüfung bestätigte **Sophos** die wahre Natur der Binärdatei als **Monero**-Kryptominer. Der **malware** wurde festgestellt, dass er eine **Windows Defender**-Ausschlussregel hinzufügt, sich selbst als 'HolaMonitorService.exe' in `Program Files` kopiert, einen automatisch startenden Windows-Dienst namens 'hola_monitor_svc' einrichtet und aktiviert, wenn der Host-Computer im Leerlauf war. ### Hola's Reaktion und Abhilfemaßnahmen **Hola** wurde von **AppEsteem** umgehend über die Ergebnisse informiert und bestätigte die Kompromittierung der Lieferkette. Diese Sicherheitslücke wurde auch unabhängig von der Cybersicherheitsfirma **Sygnia** entdeckt. Trotz des Vorfalls versichert **Hola**, dass nur etwa 0,1 % seiner Benutzerbasis betroffen war. Das Unternehmen gibt auch an, dass keine Beweise für den Zugriff auf Benutzerdaten, Diebstahl oder eine breitere Kompromittierung vorliegen. **Hola**s CEO, **Avi Raz Cohen**, versicherte den Benutzern erhebliche Sicherheitsverbesserungen: „Wir haben seitdem unsere Distributionspipeline komplett neu aufgebaut, fortschrittliche Code-Signing-Verifizierung implementiert und strengere Zugriffskontrollen sowie kontinuierliche Überwachung unserer Infrastruktur eingeführt.“ Er fügte hinzu: „Diese Maßnahmen sollen sicherstellen, dass nur deklarierte, zertifizierte und signierte Komponenten jemals an unsere Benutzer ausgeliefert werden.“ Zum Zeitpunkt der Veröffentlichung haben Anfragen nach weiteren Informationen über den Ursprung des Angriffs, die Täter oder mögliche Auswirkungen auf andere Plattformen keine Antwort von **Hola** erhalten.