Hola Browser pour Windows a distribué un mineur Monero après une compromission de sa chaîne de distribution. L’éditeur affirme que l’incident n’a touché qu’une petite partie de ses utilisateurs et utilisatrices, mais le composant indésirable a bien été livré par le canal officiel du navigateur.
Hola Browser était censé être surveillé de près. Certifié par AppEsteem, puis soumis à des vérifications périodiques avec plusieurs éditeurs de sécurité, dont Sophos, la version Windows (1.251.91.0) du navigateur a pourtant livré un fichier qui n’avait rien à faire dans son dossier d’installation. Baptisé me.exe, cet exécutable non déclaré présentait les signes d’un mineur de cryptomonnaie. Hola évoque une compromission de sa chaîne de distribution, corrigée depuis, et assure qu’aucune donnée n’a été compromise.
Un mineur Monero glissé dans le circuit de distribution
Le fichier repéré par Sophos posait déjà problème avant même son analyse détaillée. Absent de la liste des composants certifiés, non signé, dépourvu d’horodatage, il contenait aussi du code obfusqué et disposait de capacités d’écriture en mémoire. Rien qui ait sa place, en somme, dans le dossier d’installation d’un navigateur présenté comme validé par un programme de certification.
L’examen du binaire a ensuite confirmé la piste du mineur de cryptomonnaie. Sophos y a notamment retrouvé une référence à XMRig, un outil open source très souvent détourné pour miner du Monero à l’insu des propriétaires de machines infectées. Exécuté avec des droits administrateur, me.exe modifiait la configuration de Microsoft Defender pour s’exclure des analyses, puis déposait une copie de lui-même dans C:\Program Files\Hola\ sous le nom plus discret de HolaMonitorService.exe. Il créait enfin un service Windows baptisé hola_monitor_svc, configuré pour démarrer automatiquement, et calait son exécution sur les périodes d’inactivité du PC pour en ponctionner les ressources sans se faire remarquer.
À noter que le fichier n’a toutefois pas été observé à chaque test. Une information qui, pour Sophos, écarte l’idée d’un installateur unique, modifié une fois pour toutes, qui aurait distribué le même composant à tout le monde. Le problème semblait plutôt émaner d’une étape du circuit chargé de livrer Hola Browser ou ses mises à jour aux utilisateurs et utilisatrices. Hola a confirmé de son côté une activité anormale dans cette chaîne de distribution, depuis coupée puis entièrement revue. L’éditeur assure que l’incident a touché 0,1 % de ses utilisateurs et utilisatrices, sans que des données utilisateur aient été consultées, exfiltrées ou compromises.
Si vous utilisez Hola Browser, contrôlez votre PC et changez de crémerie
Si vous utilisez Hola Browser pour Windows, commencez par le désinstaller depuis les paramètres Windows, puis redémarrez le PC. Le dossier C:\Program Files\Hola\ devrait avoir disparu. S’il existe encore, contrôlez qu’il ne contient plus me.exe ni HolaMonitorService.exe, les deux fichiers signalés par Sophos.
Même vérification côté services Windows. Ouvrez le menu Démarrer, tapez « Services », lancez l’application, puis recherchez hola_monitor_svc dans la liste. Si le service apparaît encore, ouvrez ses propriétés et cliquez sur « Arrêter ». Direction ensuite le terminal (cmd) lancé avec les droits administrateur pour supprimer son entrée de Windows, à l’aide de la commande sc delete hola_monitor_svc. Redémarrez enfin le PC et contrôlez que le service n’apparaît plus dans la liste.
Il faut aussi ouvrir les paramètres de Microsoft Defender et contrôler les exclusions configurées. Le mineur modifiait l’antivirus pour s’exclure des analyses, ce qui peut laisser une zone aveugle même après suppression du fichier principal. Toute exclusion liée à Hola, à C:\Program Files\Hola\ ou à un exécutable inconnu doit être révoquée, avant de lancer une analyse complète de la machine.
Hola affirme qu’aucune donnée personnelle n’a été consultée, exfiltrée ou compromise. Par prudence, mieux vaut tout de même changer les mots de passe utilisés dans le navigateur pendant la période d’exposition, en priorité pour les comptes sensibles, puis activer la double authentification là où elle ne l’est pas encore. Et, tant qu’à faire, envisager de passer à un navigateur plus sérieux côté confidentialité.
La chaîne de distribution regroupe tout ce qui permet de fabriquer, signer, héberger et livrer un installateur ou une mise à jour (serveurs, CDN, systèmes de build, clés de signature, mécanismes d’update). Une compromission signifie qu’un attaquant a pu modifier ce qui est distribué, ou injecter un composant au moment du packaging ou de la livraison, sans forcément toucher au code source du produit. Le risque est élevé car le fichier arrive via le canal officiel, donc avec un niveau de confiance élevé côté utilisateur. Les mesures de mitigation typiques incluent la signature de code, la vérification d’intégrité, des logs d’audit et une séparation stricte des environnements de build et de publication.
Pourquoi l’absence de signature numérique et d’horodatage sur un exécutable est-elle un signal d’alerte important ?Sous Windows, une signature de code (Authenticode) permet d’identifier l’éditeur et de vérifier que le binaire n’a pas été altéré depuis sa publication. L’horodatage associe la signature à une date fiable, ce qui aide à conserver la validité de la signature même après expiration du certificat. Un exécutable non signé et non horodaté, surtout dans un dossier d’installation d’un logiciel « légitime », est un indicateur fréquent de dépôt non autorisé. Ce n’est pas une preuve absolue de malveillance, mais combiné à d’autres signaux (obfuscation, actions système), cela augmente fortement la suspicion.
Comment un mineur Monero basé sur XMRig peut-il se rendre persistant et échapper à Microsoft Defender ?XMRig est un mineur open source souvent réutilisé car il est efficace et facilement personnalisable, notamment via de l’obfuscation pour compliquer la détection. Pour durer, un malware peut créer un service Windows configuré en démarrage automatique, ce qui relance le programme à chaque boot sans passer par une session utilisateur. Il peut aussi tenter d’ajouter des exclusions dans Microsoft Defender afin que certains dossiers ou exécutables ne soient plus analysés, créant une zone aveugle. Enfin, le déclenchement « à l’inactivité » vise à réduire les symptômes visibles (ventilation, lenteur), tout en exploitant le CPU quand l’utilisateur n’est pas devant l’écran.
