Хакеры использовали уязвимость трекинг-сервиса для проникновения на биткоин-биржу
Statcounter - одна из старейших сторонних служб отслеживания пользователей в Интернете, существовавшая с 1999 года. Начиная с простой статистики и подсчета посетителей, Statcounter с течением времени вырос в полноценный сервис аналитики трафика.
Gate.io - биткоин биржа основанная в 2017 году, использовала Statcounter для отслеживания трафика пользователей до этой недели, когда исследователь безопасности по имени Мэттью Фау обнаружил сторонний код в файле JavaScript Statcounter для Gate, который мог перехватывать транзакции выполненные через интерфейс Gate.
Фау работает в ESET, международной компании по разработке антивирусного ПО и интернет безопасности по заказу MalwareBytes или Norton. Фирма предоставляет продукты безопасности для потребителей и предприятий и обязательно проводит исследования и испытания на возможность взлома. Он говорит, что код был разработан для подмены биткойн адресов вывода на платформе Gate.io на адреса, принадлежащие злоумышленнику.
Атака была более сложной, чем некоторые предыдущие атаки того же характера. Более сложные, потому что злоумышленники создали отдельный адрес для каждой атаки, что затрудняет отслеживание назначения украденных средств.
Таким образом, трудно точно определить, сколько пользователей было затронуто. Также неизвестно, как это произошло через Statcounter.
Вредоносный код специально предназначался для соответствующего сектора кода Gate.io, а именно для интерфейса вывода, а также исходя из заявления Фау, часть скрипта, посвященного краже средств, не работала бы на каком-либо другом сайте, потому что другие сайты разрабатывались по-разному.
В ответ на атаку Gate.io удалил скрипт Statcounter со своего сайта. Согласно сообщению в блоге от Gate.io, ничего не произошло в результате атаки. Это может означать только пару вещей. Во-первых, скрипт плохо написан и не смог выполнить свою работу. Во-вторых, ESET и Фау обнаружили атаку, прежде чем кто-либо сделал вывод, на котором будет срабатывать вредоносный JavaScript код.