Атака на биржу криптовалюты через взлом счетчика StatCounter

Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счетчиком которого размещен на более чем двух миллионах сайтов, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещен код счетчика StatCounter.

После взлома злоумышленники добавили в код счетчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта Gate.io. В случае обнаружения в формах Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников. Для каждой жертвы используется отдельный подставной Bitcoin-адрес, что затрудняет отслеживание ущерба от атаки.

Атака была совершена 3 ноября и пока сохраняет активность. Код измененного счетчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение. Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.

Администраторы Gate.io удалили счетчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не исключено, что злоумышленники в любой могут изменить код счетчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платежной информации на сайтах со счетчиком StatCounter).