Специалисты компании ESET, разработчика продуктов в сфере кибербезопасности, опубликовали выводы исследования, проведенного ими по следам совершенной 3 ноября атаки на ирландскую платформу веб-аналитики StatCounter. По их мнению, целью атаки могла быть криптовалютная биржа Gate.io.
Обычно, чтобы эффективно использовать возможности StatCounter для сбора статистики, вебмастера добавляют на страницы сайтов JavaScript-код www.statcounter[.]com/counter/counter.js. С его помощью, имея доступ к управлению аналитическим сервисом, злоумышленники могли поставить под угрозу посетителей свыше 2 млн ресурсов. Однако, по мнению ESET, скорее всего, основной целью хакеров была криптобиржа, поскольку в момент атаки только у нее использовался универсальный идентификатор ресурса (URI) myaccount/withdraw/BTC, который биржа обычно применяет для передачи биткоинов на сторонние адреса.
Злоумышленники могли с помощью скрипта https://www.statconuter.сom/c.php подменить биткоин-адрес своим вариантом – и похитить средства с криптобиржи. При этом домен с похожим именем, в котором было изменено несколько букв, действительно был ранее зарегистрирован и в 2010 году уже подвергался блокировке.
После получения предупреждения от специалистов ESET в Gate.io избавились от кода StatCounter и заявили, что криптоактивы пользователей вне опасности.
Напомним, в сентябре специалисты ESET обнаружили новую разновидность скрытого майнинга. В нем добыча криптовалют на компьютере жертвы происходит непосредственно в браузере через файлы JavaScript.
Источник: https://anycoin.news/
Теперь специалисты компании ESET сообщают , что уязвимость уже эксплуатирует как минимум одна группа хакеров — PowerPool. По данным исследователей, злоумышленники немного изменили оригинальный PoC-эксплоит и перекомпилировали его для атак.