Cryptohackers durchbrechen StatCounter, um Bitcoins zu stehlen Hacking

Von Jack M. Germain

8. November 2018 05:00 PT

Hacker setzten StatCounter Malware ein, um die Bitcoin-Einnahmen von Gate.io-Kontoinhabern zu stehlen, so Eset-Forscher Matthieu Faou
entdeckte den Verstoß.

Der Schadcode wurde am vergangenen Wochenende zum StatCounter-Site-Tracking-Skript hinzugefügt, berichtete er am Dienstag.

Der Schadcode entführt alle Bitcoin-Transaktionen, die über die Webschnittstelle der Cryptocurrency-Börse Gate.io ausgeführt werden. Es wird nur ausgelöst, wenn der Seitenlink den Pfad "myaccount /draw / BTC" enthält.

Der bösartige Code kann geheim jede Bitcoin-Adresse, die Benutzer auf der Seite eingeben, durch eine vom Angreifer kontrollierte Adresse ersetzen. Sicherheitsexperten betrachten diesen Verstoß als kritisch, weil so viele Websites das Tracking-Skript von StatCounter laden.

"Dieser Sicherheitsverstoß ist wirklich wichtig, da StatCounter zufolge mehr als 2 Millionen Websites ihre Analyseplattform verwenden", sagte Faou gegenüber TechNewsWorld . „Durch die Analyse-Skript modifiziert in all diesen 2 Millionen Websites injiziert, Angreifer konnten JavaScript-Code im Browser aller Besucher dieser Websites auszuführen.“

Begrenztes Ziel, breites Potenzial

Der Angriff auch von Bedeutung ist, weil es eine erhöhte Komplexität bei Hackern zeigt in Bezug auf die Werkzeuge und Methoden, die sie verwenden Kryptowährung zu stehlen, bemerkte George Waller, CEO von
BlockSafe Technologies.

Obwohl diese Form der Entführung kein neues Phänomen ist, wurde der Code auf folgende Weise eingefügt.

Das Wachstum des Kryptowährungsmarkts und seiner aufstrebenden Anlageklasse hat Hacker veranlasst, ihre Investitionen in die Entwicklung robusterer Systeme zu erhöhen Versuche und Methoden, es zu stehlen. Die verwendete Malware ist nichts Neues, aber die Methode der Bereitstellung ist.

"Seit Anfang 2017 litten Kryptowährungen über 882 Millionen US-Dollar an Geldern, die durch gezielte Angriffe auf mindestens 14 Börsen gestohlen wurden. Dieser Hack fügt einen hinzu Mehr zur Liste ", erklärte Waller gegenüber TechNewsWorld.

In diesem Fall wählten die Angreifer die Benutzer auf Gate.io, einen wichtigen Kryptowährungsaustausch, aus, sagte Eset's Faoul. Als ein Benutzer einen Bitcoin-Abzug einreichte, ersetzten Angreifer in Echtzeit die Zieladresse durch eine Adresse unter ihrer Kontrolle.

Die Angreifer konnten Gate.io anvisieren, indem sie eine Drittanbieter-Organisation, eine Taktik, die als "Lieferkette" bezeichnet wird, angreifen Attacke." Sie hätten viele weitere Websites anvisieren können, sagte Faoul.

"Wir haben mehrere Regierungswebsites identifiziert, die StatCounter verwenden. Das bedeutet, dass Angreifer auf viele interessante Menschen abzielen konnten", sagte er.

Finanzielle Auswirkungen aufzeigen

Gate.io-Kunden, die während des Angriffs Bitcoin-Transaktionen initiierten, sind durch diesen Verstoß am stärksten gefährdet. Die Malware fallen Transaktionen berechtigterweise von der Website Benutzer autorisiert durch die Zieladresse der bitcoin Transfers zu ändern, nach Paige Boshell, Managing Mitglied
Privacy Counsel.

In der Regel sollte die Anzahl der Skripte von Drittanbietern, wie StatCounter, von Webmastern auf ein Minimum reduziert werden, da jedes einen potenziellen Angriffsvektor darstellt. Für den Austausch wären zusätzliche Bestätigungen für Auszahlungen in diesem Fall von Vorteil gewesen, da der Exploit darin bestand, die Bitcoin-Adresse des Benutzers gegen die der Diebe zu tauschen.

"Gate.io hat StatCounter heruntergefahren, so dass dieser spezielle Angriff abgeschlossen werden sollte Boshell gegenüber TechNewsWorld.

Das Ausmaß des Verlusts und des Betrugs für diesen Verstoß ist noch nicht quantifizierbar. Die Angreifer verwendeten mehrere Bitcoin-Adressen für die Übertragungen, fügte Boshell hinzu und stellte fest, dass der Angriff möglicherweise für jeden Standort eingesetzt worden wäre StatCounter verwenden.

Schutzstrategien nicht narrensicher

StatCounter seinen eigenen Code Audit muss verbessert werden und ständig überprüfen, dass nur autorisierte Code auf dem Netzwerk ausgeführt wird, schlug Joshua Marpet, COO bei
Roter Löwe. Die meisten Benutzer werden jedoch nicht bemerken, dass StatCounter ein Verschulden trifft.

"Sie werden Gate.io beschuldigen, und es könnte alles passieren – Geschäftsverlust, die Bank laufen lassen 'und sogar ihre Türen schließen", sagte er TechNewsWorld.

Die Überprüfung des Codes ist nicht immer ein durchführbarer Präventionsplan. In diesem Fall sah der Malware-Code wie die eigenen Anweisungen des Gate.io-Benutzers aus, stellte Boshell von Privacy Counsel fest.

"Die Betrugstools, die Gate.io zum Schutz vor Malware und zum Erkennen von Malware verwendet, waren nicht leicht zu erkennen", sagte sie

Netzwerkadmins sind bei dieser Art von Verletzung nicht wirklich betroffen, da der bösartige Code auf der Workstation / dem Laptop statt auf dem Webserver verarbeitet wird, so Brian Chappell, leitender Direktor für Unternehmens- und Lösungsarchitektur bei
BeyondTrust. Es bietet auch keinen Mechanismus, um die Kontrolle über das System zu erlangen.

"Im Wesentlichen müssen sich viele Sterne anstellen, um dies in dieser Hinsicht zu einem erheblichen Risiko zu machen", sagte er gegenüber TechNewsWorld. „Effektive Verletzlichkeit und Rechteverwaltung würden die Auswirkungen eines Eindringens natürlich begrenzen.“

Das ist eine Richtung, die Administratoren müssen schauen. Es gibt nichts, was sie zur Kontrolle des anfänglichen Angriffs tun können, vorausgesetzt, die Zielwebsites seien akzeptierte Websites innerhalb ihrer Organisation, fügte Chappell hinzu.

Selbst eine gut geschützte Website kann durch die Kompromittierung eines Skripts eines Drittanbieters verletzt werden, so Eset's Faou.

"Webmaster sollten daher den externen JavaScript-Code, mit dem sie verlinkt werden, sorgfältig auswählen und deren Verwendung vermeiden, wenn dies nicht erforderlich ist", sagte er.

Eine mögliche Strategie besteht darin, nach Skripts zu suchen, die eine Bitcoin-Adresse durch eine andere ersetzen , schlug Clay Collins vor, CEO von
Nomics.

Die Verwendung von Analysediensten, die einen guten Ruf in Bezug auf die Sicherheit haben, ist ein Teil davon, sagte er TechNewsWorld.

 

Weitere Best Practices

Die Verkehrsanalyse, das Scannen von Websites und die Überprüfung von Code sind einige der Tools, die möglicherweise erkannt haben, dass etwas ungewöhnliche Transaktionen und Datenverkehr verursacht hat, so Fausto Oliveira, der wichtigste Sicherheitsarchitekt bei
Acceptto. Es wäre jedoch ideal gewesen, um den Angriff von vornherein zu verhindern.

"Wenn die Gate.io-Kunden über eine Anwendung verfügten, die eine starke Out-of-Band-Authentifizierung über einem bestimmten Betrag erfordert oder wenn eine Transaktion angestrebt wird ein unbekannter Empfänger, dann hätten ihre Kunden die Möglichkeit gehabt, die Transaktion zu blockieren und frühzeitig zu verstehen, dass etwas nicht stimmte ", erklärte Oliveira gegenüber TechNewsWorld.

Die Verwendung von blockierenden Add-Ons wie NoScript und uBlock / uMatrix kann etwas bewirken der persönlichen Kontrolle in den Händen des Website-Benutzers. Es macht das Surfen im Internet schwieriger, so Raymond Zenkich, COO von
BlockRe.

"Sie können jedoch sehen, welcher Code in eine Site geladen wird, und ihn deaktivieren, wenn dies nicht erforderlich ist", sagte er gegenüber TechNewsWorld.

"Webentwickler müssen aufhören, Skripts von Drittanbietern auf sensiblen Seiten und auf dem Server zu platzieren lege ihre Verantwortung gegenüber ihren Nutzern über ihren Wunsch nach Werbeeinnahmen, Metriken usw. ab ", sagte Zenkich.

Achten Sie auf alle möglichen Dinge von Drittanbietern

In der Regel sollte die Anzahl der Skripte von Drittanbietern durch Webmaster auf ein Minimum beschränkt werden
Zenchain-Mitbegründer Seth Hornby, da jeder einen potentiellen Angriffsvektor darstellt.

"Für den Austausch wären zusätzliche Bestätigungsbestätigungen auch in diesem Fall von Vorteil, da der Exploit die Bitcoin-Adresse des Benutzers gegen die der Diebe austauscht." er TechNewsWorld erzählt.

Auch Drittanbieter-Outsourcing-Lösungen, die Tür zu Cyber-Spielereien öffnen kann, warnte Zhang Jian, der Gründer von
FCoin.

"So viele Unternehmen im Bereich der Kryptowährung verlassen sich bei unterschiedlichen Aufgaben und Aufgaben auf Fremdfirmen. Die Konsequenz dieses Outsourcings ist ein Verlust der Rechenschaftspflicht. Dies versetzt viele Unternehmen in eine schwierige Lage und kann Angriffe nicht lokalisieren Diese Natur, bevor es zu spät ist ", sagte er gegenüber TechNewsWorld.

Stattdessen sollten Netzwerkadministratoren daran arbeiten, interne Versionen ihrer Tools und Produkte zu erstellen, schlug Jian von Anfang bis Ende vor, um die Kontrolle dieser Sicherheitsmaßnahmen zu gewährleisten liegt in ihrer Reichweite.


Jack M. Germain ein ECT News Network Reporter hat seit 2003 seine Schwerpunkte Unternehmen sind IT, Linux und Open-Source-Technologien. Er hat zahlreiche Rezensionen zu Linux-Distributionen und anderer Open-Source-Software verfasst.
Email Jack.

Source link