Хакеры взломали популярный сервис веб-аналитики StatCounter, чтобы получить доступ к сайтам, которые им пользуются. В частности, вредоносный код пытались внедрить в сайт криптовалютной биржи Gate.io.
Эксперты ESET сообщили, что киберпреступники модифицировали скрипт внешнего JavaScript-файла — www.statcounter.com/counter/counter.js. Он используется для сбора статистики о посетителях сайтов.
Модификацию обнаружили не сразу. Оказалось, что вредоносный скрипт ищет в URL-адресе строку myaccount/withdraw/BTC, а затем добавляет на веб-страницу новый элемент кода — www.statconuter.сom/c.php, чтобы пользователи перешли на зарегистрированный злоумышленниками домен. К слову, в 2010 году работу домена уже блокировали из-за вредоносной деятельности.
Эксперты считают, что конечной целью хакеров была именно криптобиржа Gate.io. Дело в том, что именно она использует унифицированный идентификатор ресурса https://www.gate.io/myaccount/withdraw/BTC, чтобы передавать биткоины со своего счета на сторонние адреса.
Эксперты подчеркнули:
Вредоносный скрипт автоматически заменяет биткоин-адрес пользователя адресом злоумышленника. Из-за того, что сервер мошенников генерирует новый адрес каждый раз, когда пользователь загружает скрипт StatConuter, сложно определить, сколько биткоинов могло быть похищено.
Сейчас модуль StatCounter удален с сайта Gate.io. Биржа заявила, что «все активы ее пользователей в безопасности».