Нова много опасна атака чрез хакването на брояча StatCounter
ESET записва пробив в известната услуга за уеб аналитика StatCounter. JavaScript кода на брояча на StatCounter е поместен в над два милиона уеб страницата, а потреблението на този брояч доближава към 50 милиарда милиарда месечно. Според данните на ESET, хакването на брояча е особено осъществено за навлизане в криптовалутната борса gate.io, в страниците на която също е интегриран кода на брояча StatCounter .
След хакването, в световния код на брояча са добавени няколко спомагателни реда, които прихващат цялата информация за всички транзакции с криптовалутата Bitcoin. Вредоносният код се задейства единствено за страниците, съдържащи в URL маската „myaccount/withdraw/BTC“, която е характерна за уеб страницата Gate.io и се употребява в страницата за превод на криптовалута. При съвпадане на шаблона се зарежда спомагателния скрипт https://www.statconuter.com/c.php. Интересното тук е, че хакерите са записали домейна statco nu ter.com, който се разграничава от statco un ter.com с смяната разположението на два признака – „nu“ вместо „un“.
При засичане на биткойн адрес, вредоносният код го заменя с биткойн адреса на злоумишлениците. Това става тъкмо при натискането на бутона за превод на сумата. За всяка жертва се употребява обособен биткойн адрес – при всяко зареждане на скрипта c.php се генерира нов биткойн адрес и по този метод се затруднява следенето на офанзивата.
Самата офанзива е осъществена на 3 ноември и още е дейна. Кодът на променения брояч (www.statcounter.com/counter/counter.js) и в този момент към момента съдържа вредоносната смяна. Скриптът е компресиран благодарение на помощната стратегия packer и без декомпресиране, смяната не се вижда. Експертите изпратиха съобщение до StatCounter, само че към този момент няма отговор.
Администраторите на Gate.io отстраниха кода на брояча от своите страници, само че той продължава да се употребява в многочислените уеб сайтове на всички, които употребяват StatCounter. Въпреки, че кодът е усъвършенстван за Gate.io, нищо не пречи хакерите мигновено да го трансформират и да осъществят някоя огромна универсална офанзива. Например да прихванат паролите и платежната информация от уеб страниците с брояча на StatCounter.
След хакването, в световния код на брояча са добавени няколко спомагателни реда, които прихващат цялата информация за всички транзакции с криптовалутата Bitcoin. Вредоносният код се задейства единствено за страниците, съдържащи в URL маската „myaccount/withdraw/BTC“, която е характерна за уеб страницата Gate.io и се употребява в страницата за превод на криптовалута. При съвпадане на шаблона се зарежда спомагателния скрипт https://www.statconuter.com/c.php. Интересното тук е, че хакерите са записали домейна statco nu ter.com, който се разграничава от statco un ter.com с смяната разположението на два признака – „nu“ вместо „un“.
При засичане на биткойн адрес, вредоносният код го заменя с биткойн адреса на злоумишлениците. Това става тъкмо при натискането на бутона за превод на сумата. За всяка жертва се употребява обособен биткойн адрес – при всяко зареждане на скрипта c.php се генерира нов биткойн адрес и по този метод се затруднява следенето на офанзивата.
Самата офанзива е осъществена на 3 ноември и още е дейна. Кодът на променения брояч (www.statcounter.com/counter/counter.js) и в този момент към момента съдържа вредоносната смяна. Скриптът е компресиран благодарение на помощната стратегия packer и без декомпресиране, смяната не се вижда. Експертите изпратиха съобщение до StatCounter, само че към този момент няма отговор.
Администраторите на Gate.io отстраниха кода на брояча от своите страници, само че той продължава да се употребява в многочислените уеб сайтове на всички, които употребяват StatCounter. Въпреки, че кодът е усъвършенстван за Gate.io, нищо не пречи хакерите мигновено да го трансформират и да осъществят някоя огромна универсална офанзива. Например да прихванат паролите и платежната информация от уеб страниците с брояча на StatCounter.
Източник: kaldata.com
КОМЕНТАРИ