Криптобиржа gate.io взломана вводом вредоносного скрипта в счетчик StatCounter

Москва, 11:20, 07 Ноя 2018, редакция FTimes.ru, автор Сергей Кузнецов.

3 ноября веб-аналитическая платформа StatCounter была скомпрометирована злоумышленниками, которые изменили ее глобальный сценарий отслеживания сайтов, чтобы украсть биткоины со страницы вывода биржи gate.io. Это было обнаружено ESET.

«Сценарий нацелен на конкретный унифицированный идентификатор ресурса (URI): myaccount / remove / BTC. Оказывается, что среди разных бирж криптовалют только у gate.io есть действительная страница с этим URI», — говорят эксперты. «Таким образом, эта биржа, по-видимому, является главной целью этой атаки».

Учитывая, что более 2 миллионов веб-сайтов используют платформу отслеживания сайта StatCounter, и каждый месяц она отслеживает статистику примерно на 10 миллиардах страниц, легко понять, почему злоумышленники, стоящие за атакой, отметили ее как цель.

Хакеры изменили основной сценарий отслеживания платформы, доступный на www.statcounter [.] com / counter / counter.js, добавив вредоносный код, предназначенный для автоматического переключения адреса Bitcoin.

Чтобы быть более точным, как только жертва нажимает кнопку отправки на странице выхода gate.io, загружается сценарий statconter [.] Com / c.php, размещенный злоумышленниками в очень похожем домене со statcounter[.]com, чтобы избежать обнаружения, и который будет генерировать новый биткоин-адрес, заменяя конечный пункт назначения криптовалюты.

«Криптовалюта была украдена с использованием злонамеренно измененного сценария отслеживания, используемого 2 + миллионами сайтов»

«Это перенаправление, вероятно, незаметно для жертв, поскольку замена выполняется после нажатия кнопки «Отправить», — сообщают специалисты. «Таким образом, это произойдет очень быстро и, вероятно, даже не будет отображаться».

Каждый раз, когда вредоносный скрипт перенаправляет транзакции в блокчейн, он также изменяет адрес биткоина, на который собирает похищенную криптовалюту. Практически невозможно узнать объем средств, которые злоумышленники могли украсть у пользователей gate.io, пока те не спохватились, а администраторы криптобиржи не удалили скрипт отслеживания StatCounter.

Эта сложная атака, направленная на компроментацию биржи биткоинов, которая вовсе не является самым значительным игроком на рынке криптовалюты, показывает, сколько усилий предпримут злоумышленники, чтобы успешно взломать цель, обещающую значительную прибыль.

«Это также показывает, что даже если ваш сайт обновлен и хорошо защищен, он по-прежнему уязвим в самом слабом звене, которая в этом случае была внешним ресурсом», — считает исследователь безопасности ESET. «Это еще одно напоминание о том, что внешний код JavaScript находится под контролем третьей стороны и может быть изменен в любое время без предварительного уведомления».