A Sophos X-Ops identificou um executável inesperado e não declarado, chamado “me.exe”, distribuído junto com o Hola Browser (versão 1.251.91.0). A descoberta ocorreu durante testes de rotina para o programa de Aplicativo Certificado para Windows da AppEsteem. O componente misterioso, que não constava na lista de arquivos certificados do instalador, apresentou características técnicas idênticas às de um minerador de criptomoedas.
Durante as análises em disco no diretório da aplicação, os pesquisadores detectaram o arquivo como uma Aplicação Potencialmente Indesejada (PUA). O binário não possuía assinatura digital, apresentava código ofuscado e tinha capacidade de escrita em memória. Como o arquivo não aparecia em todas as execuções dos testes, a equipe descartou a hipótese de um payload fixo, o que indicou uma falha de integridade na cadeia de suprimentos da empresa.
Análises detalhadas do “me.exe” revelaram que ele adiciona uma exclusão no Windows Defender e contém strings associadas à mineração, como caminhos de módulos Go baseados em XMRig. Quando executado com privilégios administrativos, o binário copia a si próprio para criar um serviço configurado para iniciar automaticamente e rodar quando o sistema estiver inativo. A proteção da Sophos associada a esse binário foi classificada como Troj/GoMiner-B.
Após o problema ser escalado por meio da AppEsteem, a Hola agiu rapidamente para interromper o pipeline afetado e remover o software indesejado de sua infraestrutura. Avi Raz Cohen, CEO da Hola, explicou o ocorrido: “Contratamos a Sygnia, uma empresa independente de cibersegurança, para conduzir uma investigação forense completa junto à nossa análise interna. Os achados confirmaram que se tratou de um comprometimento da cadeia de suprimentos e, de forma crítica, nenhum dado de usuário foi acessado, exfiltrado ou comprometido. O incidente afetou 0,1% dos usuários.”
A desenvolvedora do navegador informou que corrigiu o pipeline de distribuição e implementou novos controles avançados de segurança. Como destacou Avi Raz Cohen: “Desde então, reconstruímos completamente nosso pipeline de distribuição, implementamos verificação avançada de assinatura de código e introduzimos controles de acesso mais rigorosos, além de monitoramento contínuo. Essas medidas garantem que apenas componentes declarados, certificados e assinados sejam entregues aos usuários.”
Para os analistas, este desfecho demonstra a importância prática dos programas de certificação e da colaboração no ecossistema de segurança. O incidente serviu para validar ameaças silenciosas e corrigir a causa raiz do problema antes que evoluísse para um cenário mais grave, garantindo que o pipeline volte a entregar apenas os componentes declarados, certificados e assinados originalmente.
