Hola Browser’ın Windows sürümü tedarik zinciri saldırısına uğradı, kullanıcı sistemlerine kripto para madencisi yerleştirildi
Chromium tabanlı Hola Browser’ın Windows sürümünde gerçekleştirilen tedarik zinciri saldırısı sonucu bazı kullanıcılara bildirilmeyen bir çalıştırılabilir dosyanın dağıtıldığı ortaya çıktı. Güvenlik araştırmacıları dosyanın Monero kripto para madencisi olduğunu tespit ederken, şirket etkilenen kullanıcı oranının yaklaşık yüzde 0,1 seviyesinde olduğunu açıkladı.
Windows platformunda kullanılan Hola Browser yazılımının bir tedarik zinciri saldırısı sonucu ele geçirildiği ve bazı kullanıcılara gizli şekilde kripto para madencisi dağıtıldığı bildirildi. Olay, AppEsteem sertifikasyon süreci kapsamında gerçekleştirilen rutin uygulama güvenliği kontrolleri sırasında ortaya çıkarıldı.
İsrail merkezli Hola, özellikle kullanıcıların farklı ülkelerdeki içeriklere erişmesini sağlayan Hola VPN hizmetiyle tanınıyor. Chromium tabanlı Hola Browser ise VPN ve proxy özelliklerini doğrudan tarayıcı içerisine entegre ederek hizmet veriyor.
Şüpheli Dosya Güvenlik Kontrollerinde Tespit Edildi
Sertifikasyon sürecine katılan Sophos ve diğer siber güvenlik şirketleri, bazı kurulumlarda C:\Program Files\Hola\ dizinine yerleştirilen ve daha önce beyan edilmemiş olan “me.exe” adlı bir dosya tespit etti.
Güvenlik uzmanları, söz konusu dosyanın sertifikasyon kapsamında incelenmediğini, dijital imza taşımadığını, zaman damgası bulunmadığını ve karmaşıklaştırılmış kod içerdiğini belirtti. Ayrıca dosyanın sistem belleğine yazma yeteneğine sahip olduğu kaydedildi.
Monero Madencisi Olduğu Belirlendi
Sophos tarafından gerçekleştirilen detaylı analizde dosyanın bir Monero kripto para madencisi olduğu yönünde güçlü bulgular elde edildi.
Araştırmacılar, zararlı yazılımın Windows Defender üzerinde istisna kuralı oluşturduğunu, kendisini “HolaMonitorService.exe” adıyla Program Files klasörüne kopyaladığını ve “hola_monitor_svc” isimli bir Windows hizmeti oluşturarak sistem açılışında otomatik çalıştığını açıkladı.
Analize göre madenci yazılımı, bilgisayarın boşta kaldığı zamanlarda çalışarak sistem kaynaklarını kullanıyor.
Hola Saldırıyı Doğruladı
AppEsteem tarafından bilgilendirilen Hola, yaşanan olayın bir tedarik zinciri saldırısı olduğunu doğruladı. Şirket, olayın siber güvenlik firması Sygnia tarafından da bağımsız olarak tespit edildiğini açıkladı.
Hola tarafından yapılan değerlendirmede, “Etkilenen kullanıcı oranının yaklaşık yüzde 0,1 olduğu tahmin ediliyor.” bilgisi paylaşıldı.
Şirket ayrıca kullanıcı verilerine erişildiğine, veri hırsızlığı yaşandığına veya kullanıcı hesaplarının ele geçirildiğine dair herhangi bir kanıt bulunmadığını belirtti.
“Dağıtım Altyapısını Tamamen Yeniden Kurduk”
Hola Üst Yöneticisi Avi Raz Cohen, konuya ilişkin açıklamasında, “Dağıtım altyapımızı tamamen yeniden inşa ettik, gelişmiş kod imzalama doğrulama mekanizmaları uyguladık ve erişim kontrollerini önemli ölçüde sıkılaştırdık.” dedi.
Cohen, “Bu önlemler, kullanıcılarımıza yalnızca beyan edilmiş, sertifikalandırılmış ve dijital olarak imzalanmış bileşenlerin ulaştırılmasını sağlamak amacıyla hayata geçirildi.” ifadelerini kullandı.
Olayın nasıl gerçekleştiği, saldırının arkasındaki kişi veya gruplar ile diğer platformlardaki kullanıcıların etkilenip etkilenmediği konusunda ise şirket tarafından henüz ayrıntılı bilgi paylaşılmadı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
