Internet
Hakerzy zainfekowali 700 tysięcy stron, aby uzyskać dostęp do... jednej

Chociaż rynek kryptowalut to w ostatnich miesiącach prawdziwy rollercoaster dla osób o naprawdę mocnych nerwach, to wciąż cieszy się ogromną popularnością, zarówno użytkowników, jak i hakerów.

I w sumie trudno się temu dziwić, biorąc pod uwagę wartości osiągane przez najpopularniejszą z nich, a mianowicie Bitcoina, który wyceniany jest obecnie na 24 330,09 PLN (a trzeba pamiętać, że były czasy, kiedy za jednego Bitcoina musieliśmy zapłacić 20 tysięcy dolarów!). To właśnie tę walutę hakerzy wyprowadzali z serwisu wymiany Gate.io, wykorzystując w tym celu StatCounter, czyli jedną z najpopularniejszych na świecie stron analizujących ruch internetowy.

Hakerzy złamali StatCounter w taki sposób, że ponad 688 tysięcy stron internetowych zaczęło ładować zainfekowany skrypt - serwis działa na podobnej zasadzie jak Google Analytics, ale z tą różnicą, że webmasterzy muszą dodać do swojej strony specjalny skrypt zliczający, żeby dostać statystyki. To właśnie jego udało się zmodyfikować cyberprzestępcom tak, że zaczął działać na ich korzyść, rozprzestrzeniając potrzebny kod.

Później poszło już z górki - kiedy użytkownik decydował się na pobranie albo transfer Bitcoina, wpisany przez niego adres zostawał automatycznie podmieniany na ten wprowadzony przez hakera. Proceder został odkryty przez ESET, słowacką firmę zajmującą się cyberbezpieczeństwem, która opisała go jako „atak na łańcuch dostawy”. Jak bowiem tłumaczą jej badacze, blisko milion stron miało zostać zainfekowanych, tylko po to, by dobrać się do jednej, obracającej codziennie Bitcoinem o wartości 1.7 mln USD.

Niestety wciąż nie wiadomo, ile osób zostało poszkodowanych przez ten atak, ani kto za nim stoi, chociaż proceder trwał od wielu dni. ESET zauważa, że skrypt za każdym razem generował nowy adres, co znacznie utrudnia powiązanie ze sobą różnych transakcji, a tym samym odkrycie tożsamości czy lokalizacji hakerów. Gate.io zapewniło już, że usunie StatCounter ze swojej strony, a także prosi użytkowników o korzystanie z uwierzytelniania wielopoziomowego i dwustopniowego logowania.

Źródło: GeekWeek.pl/thenextweb