Durante el trabajo de revisión relacionado con una prueba de AppEsteem Aplicación certificada para Windows, Sophos X-Ops identificó recientemente un ejecutable inesperado que se distribuía junto con Hola Browser (versión 1.251.91.0). El ejecutable, me.exe, no figuraba como componente certificado y parece ser un minero de criptomonedas.

Una vez Sophos X-Ops notificó el problema a través del programa de certificación, Hola informó que había corregido su canal de distribución y eliminado la condición que incluía ese componente no declarado en el navegador.

Un invitado sorpresa

Las pruebas de aplicaciones certificadas para Windows de AppEsteem son un ejercicio de validación bastante rutinario, pero importante, diseñado para garantizar que los binarios distribuidos coincidan con la huella declarada y certificada, y que los proveedores de seguridad los clasifiquen adecuadamente.

Fundada en 2016, AppEsteem es una organización certificada por AMTSO que mantiene una lista, derivada del sector, de comportamientos de software buenos y malos. Certifica productos que no se comportan de forma engañosa o maliciosa, y denuncia a los que sí lo hacen.

AppEsteem lleva a cabo pruebas periódicas en las que valida los productos certificados frente a múltiples proveedores de seguridad independientes. Sophos es uno de los proveedores que participan en estas pruebas. Durante una de ellas, el equipo incluyó los siguientes hash como certificados para el instalador del navegador Hola:

• SHA256: 174086534a2de730058465a4a4e231ce3778ab17ebebfd7f62b3bf9750bc7bdb
• SHA1: 8046735d354814bf9ef9a053cb9cad8cfec261f2
• MD5: 8462f61e68b37d220eab2462b3cbcec8

AppEsteem certificó el producto tras verificar que no realizaba ningún comportamiento inesperado o no deseado.

Sin embargo, cuando lo probaron con varios productos de seguridad, nosotros (y algunos otros proveedores) detectamos uno de los componentes escritos en el disco —C:\Program Files\Hola\me.exe— como una aplicación potencialmente no deseada (PUA).

En la investigación inicial de este binario, identificamos una serie de posibles problemas:

• El archivo no figuraba como componente certificado
• No tenía firma de código
• No tenía marca de tiempo
• Contenía código ofuscado
• Tenía capacidad de escritura en memoria

Por separado, estas características no indican necesariamente una intención maliciosa, pero, en conjunto, describen exactamente el tipo de artefacto que no debería aparecer en el directorio de una aplicación certificada.

El binario, y su presencia en ese directorio, apuntaban a un problema en el proceso de entrega, sobre todo porque AppEsteem no detectó el archivo en todas las pruebas que realizó con terceros. Eso descartaba una explicación simple de «carga útil del instalador fija», y sugería en cambio una variación en la ruta de entrega: algo que dependía del canal de compilación, el empaquetado, la descarga posterior a la instalación, el comportamiento de la CDN o la configuración del proceso de lanzamiento.

En otras palabras, la certificación validó una instantánea de Hola Browser, pero el proceso de entrega proporcionó más que esa instantánea, al menos en algunos casos, lo que sugiere un problema con la integridad de la cadena de suministro.

Informamos del problema a AppEsteem y, a través de ellos, nos enteramos de que Hola confirmó que su instalador no debía entregar el archivo me.exe.

Nos pusimos en contacto con Hola para recabar sus comentarios. Avi Raz Cohen, director ejecutivo de Hola, respondió lo siguiente:

«Nuestro sistema interno de supervisión de seguridad detectó una actividad anómala en nuestro canal de distribución de actualizaciones y actuamos de inmediato. También estamos agradecidos a Sophos X-Ops y AppEsteem, cuyas pruebas de certificación independientes identificaron y escalaron el mismo problema; este tipo de ecosistema de seguridad colaborativo es precisamente lo que beneficia tanto a los proveedores como a los investigadores y a los usuarios finales, y agradecemos su diligencia. Tras la detección, nuestra primera prioridad fue detener el canal de distribución afectado y eliminar el software no deseado de nuestra infraestructura y de cualquier dispositivo afectado. Nos tomamos la integridad de nuestro canal de distribución con la máxima seriedad, y la presencia de cualquier componente no declarado, independientemente de su origen, es inaceptable para nosotros. Contratamos a Sygnia, una empresa independiente de ciberseguridad, para que llevara a cabo una investigación forense exhaustiva junto con nuestra propia revisión interna. Las conclusiones de Sygnia corroboraron las nuestras: se trataba de un compromiso de la cadena de suministro y, lo que es más importante, nadie accedió, filtró ni comprometió ningún dato de los usuarios en ningún momento durante este incidente, que afectó al 0,1 % de los usuarios. Desde entonces, hemos reconstruido por completo nuestra cadena de distribución, hemos implementado una verificación avanzada de la firma de código y hemos introducido controles de acceso más estrictos y una supervisión continua en toda nuestra infraestructura. Estas medidas están diseñadas para garantizar que solo entreguemos a nuestros usuarios componentes declarados, certificados y firmados. Agradecemos a Sophos, AppEsteem y a la comunidad de investigación en seguridad en general por su vigilancia constante. Esta colaboración hace que el ecosistema de software sea más seguro para todos.

me.exe

Al margen del hallazgo de AppEsteem, capturamos el mismo artefacto anómalo en nuestra telemetría (SHA256: e3541caf708c075f0bb22fc68b03acd8457fea7cf0732ea935b1eb016d1c7721) y lo conservamos para su análisis.

Este binario parece ser un minero de criptomonedas. Realiza una exclusión de Windows Defender y contiene varias cadenas relacionadas con la actividad de minería de criptomonedas:

• «killed orphan miner pid %d»
• «user active, stopping miner»
• «m/cmd/xmrig-idle» (una ruta de módulo Go que indica un minero basado en XMRig)

Cuando el binario se ejecuta con privilegios de administrador, se copia a sí mismo en C:\Program Files\Hola\HolaMonitorService.exe y crea un servicio con el nombre hola_monitor_svc, configurado para iniciarse automáticamente y ejecutarse cuando el host está inactivo.

Sophos protege contra este binario con la detección Troj/GoMiner-B.

Corregir el proceso de entrega

Después de que planteáramos este asunto a AppEsteem, y AppEsteem lo planteara a Hola, AppEsteem nos informó de que Hola había corregido su proceso de entrega.

Ese resultado es la mejor resolución posible en este tipo de casos: un supuesto problema de integridad salió a la luz, lo validamos y lo corregimos en la fase inicial, antes de que pudiera convertirse en algo peor.

Una de las razones por las que las pruebas de certificación —y la investigación de cualquier resultado inesperado que surja de ellas— son tan importantes es que los procesos de entrega solo deben distribuir componentes declarados, certificados y firmados, y las huellas de instalación resultantes deben ser consistentes en todas las ejecuciones de prueba y rutas de implementación.

Cuando se incumple una o más de esas condiciones, es posible que algo haya salido mal, y se justifica la escalada del problema.

Los programas de certificación del sector desempeñan un papel importante a la hora de sacar a la luz este tipo de problemas. Cuando identificamos artefactos inesperados, la prioridad es investigar rápidamente y resolver la causa raíz, como ha ocurrido en este caso.

Agradecimientos

Sophos X-Ops quiere dar las gracias a todas las partes implicadas por su cooperación y sus respuestas oportunas durante este incidente.