Согласно отчету фирмы интернет-безопасности ESET, опубликованному 6 ноября, хакеры скомпрометировали ирландский сервис веб-аналитики StatCounter, пытаясь украсть биткоины у клиентов крипто биржи Gate.io.
Злоумышленникам удалось внедрить вредоносный код в скрипт веб-страницы StatCounter. Также они зарегистрировали домен, очень похожий на официальный, поменяв две буквы местами и получив таким образом “StatConuter”. В отчёте ESET отмечается, что действие этого домена уже приостанавливалось в 2010 году из-за его связи с вредоносной деятельностью.
StatCounter используется более чем двумя миллионами веб-сайтов, согласно его собственным данным, и предоставляет статистику по миллиардам веб-просмотров ежедневно. Фейковый аккаунт был принят за оригинал множеством сайтов, однако хакеров, вероятно, интересовала только биржа Gate.io.
Согласно отчету, скрипт был нацелен на единый идентификатор ресурса (URI): «myaccount/withdraw/BTC.»
«Оказывается, среди различных криптовалютных бирж, работающих на момент написания этого материала, только Gate.io имеет действующую страницу с этим URI. Таким образом, эта биржа кажется основной целью атаки,» – говорится в отчёте.
URI используется биржей Gate.io для перевода биткоинов со своего счёта на внешний биткоин-адрес. Скрипт хакеров автоматически заменял биткоин-адрес пользователя на адрес, принадлежащий злоумышленникам.
Поскольку вредоносный сервер генерирует новый биткоин-адрес каждый раз, когда посетитель загружает скрипт StatConuter, «трудно понять, сколько биткоинов было переведено злоумышленникам», говорят исследователи.
После получения уведомления от ESET об уязвимости, Gate.io сообщила о том, что сразу же удалила сервис StatCounter со своего сайта, подчеркнув, что средства пользователей находятся в безопасности.
