Durante una auditoría de seguridad rutinaria, la división Sophos X-Ops identificó la presencia de un componente no declarado en el instalador de Hola Browser. El ejecutable, identificado como me.exe, operaba sin firma de código y presentaba capacidades de minería de criptomonedas, comprometiendo la integridad de la cadena de suministro del software.
Anatomía del componente malicioso
El archivo me.exe fue detectado al observar comportamientos anómalos durante pruebas de certificación con AppEsteem. El análisis técnico reveló que el binario contenía código ofuscado y estaba configurado para realizar una exclusión en Windows Defender. Al ejecutarse con privilegios de administrador, el proceso se copiaba a sí mismo como HolaMonitorService.exe y creaba el servicio hola_monitor_svc, diseñado para activarse automáticamente cuando el equipo del usuario se encontraba inactivo. La amenaza se clasifica bajo la detección Troj/GoMiner-B.
Origen y alcance del compromiso
La investigación confirmó que el instalador no debía incluir dicho componente. Un análisis forense exhaustivo determinó que se trató de un compromiso en la cadena de suministro, lo que permitió que el código no autorizado se infiltrara en el canal de distribución. Este incidente afectó únicamente al 0,1 % de los usuarios totales, sin que se registrara acceso o exfiltración de datos personales en ningún momento.
Remediación y fortalecimiento de la seguridad
Como respuesta inmediata, se detuvo el canal de distribución afectado y se eliminó el software no deseado de la infraestructura. Para evitar futuros incidentes, se ha reconstruido la cadena de distribución, implementando controles más estrictos de acceso, supervisión continua y una verificación avanzada de la firma de código para asegurar que solo se entreguen componentes certificados. Este caso subraya la importancia de las pruebas de certificación independientes para validar la integridad del software antes de su distribución final.
