The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на биржу криптовалюты через взлом счётчика StatCounter

06.11.2018 21:46

Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтов, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter.

После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта Gate.io и используется на странице перевода средств. При совпадении маски осуществляется загрузка дополнительного скрипта https://www.statconuter.com/c.php (атакующими зарегистрирован домен statconuter.com, который отличается от statcounter.com переменой двух букв - "nu" вместо "un"), который содержит код для атаки на gate.io.

В случае обнаружения в форме перевода Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников во время нажатия кнопки для отправки средств. Для каждой жертвы используется отдельный подставной Bitcoin-адрес (при каждой загрузке скрипта c.php генерируется новый Bitcoin-адрес), что затрудняет отслеживание ущерба от атаки.

Атака была совершена 3 ноября и пока сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение (скрипт упакован утилитой packer для экономии трафика, поэтому без распаковки появление вредоносного кода не бросается в глаза). Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.

Администраторы Gate.io удалили счётчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не исключено, что злоумышленники в любой момент могут изменить код счётчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платёжной информации на сайтах со счётчиком StatCounter).

  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  3. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
  4. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
  5. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
  6. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: statcounter, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.4, Аноним (4), 22:17, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Надеюсь что все подобные счетчики яростно режутся uBlock'ом из коробки
     
     
  • 2.8, Аноним (8), 00:06, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +19 +/
    На коробку надейся, а подписки добавь.
     
  • 2.28, Александр (??), 15:12, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Пока не ломанут uBlock и он сам не начнет делать тихо тоже самое.
     
     
  • 3.33, Аноним (33), 19:48, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну собирай из исходников, кто мешает?)
     

  • 1.5, Аноним (5), 22:22, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Следующий уровень атаки - взлом Cloudflare? А впрочем даже если их всех взломают, макакам впрок не пойдёт и они продолжат подгружать говно с CDN без проверки хеша.
     
     
  • 2.14, Аноним (14), 01:19, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Флаг в руки "легко" разобраться с инфраструктурой типа CloudFlare.
     
     
  • 3.19, кульхаксор (?), 09:58, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а зачем мне разбираться? Мне ж надо одну-единственную дырку найти, а не детально разобраться в технологии. А это делается совсем-совсем с другого конца.

     
     
  • 4.39, Всем Анонимам Аноним (?), 17:14, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сравниваете с домашним сервером или мелким. Например, некоторые команды, которые Вы думаете только показывают данные, могут сломать вещи. Я уж молчу про вопрос где хранятся конфиги, как они обновляются (скорее всего в несколько стадий) и т.п.
     
  • 3.30, Аноним (30), 17:08, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Большинство обменников работают через cloudflare, который митмит весь трафик (https шифруется до него и потом снова от него до сайта, для cf все прозрачно). Один недобросовестный сотрудник cf может положить весь рынок криптовалют.
     
     
  • 4.41, Всем Анонимам Аноним (?), 17:16, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего top 10000 сайтов таки или иначе используют CDN, включая банки. Для этого CDN имеют PCI сертификвцию. Она хоть как-то сдерживает девелоперов, для которых слово безопасность нет в лексиконе.
     

  • 1.6, Аноним (6), 22:23, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex и каких-то левых контор.

    https://www.sberbank.com/ru/personal_policy
    "в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто"

     
     
  • 2.7, Аноним84701 (ok), 22:51, 06/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex
    > и каких-то левых контор.

    Ну дык, тут с одной стороны есть риск, что взломают вас (чисто технически) на вашем-же локалхосте – от чего ответственному манагеру ни холодно ни жарко, особенно когда можно отлично отбрехаться или (с минимальными потерями) назначить козла отпущения.
    А вот с другой – есть возможность прямо здесь и сейчас собрать аналитику и сделать на этом денюжку малую на посещение красавиц (или красавцев) элитных. Кто же тут долго раздумывать будет?

     
  • 2.9, Гентушник (ok), 00:09, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже охренел когда такую подставу обнаружил. Писал им в саппорт, но они это за потенциальную уязвимость не считают.
    Хорошо хоть ublock зарезал все эти счётчики.
     
     
  • 3.18, Аноним (18), 09:43, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам вносил? Можно конфиг?
     
     
  • 4.35, Гентушник (ok), 07:18, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты сам вносил? Можно конфиг?

    Я сам не вносил. Счётчики зарезали статические фильтры из вот этих вот подписок:
    EasyList
    EasyPrivacy
    RUS: RU AdList
    Peter Lowe’s Ad and tracking server list


    А вообще, помимо вышесказанных подписок я использую правило динамической фильтрации
    * * 3p-script block
    Которое блочит все сторонние (по отношению к текущему домену) скрипты и всякие такие счётчики режутся ещё до применения статических фильтров.
    Минус - половина сайтов ломается и приходится ставить
    example.com * 3p-script noop
    (правило ставится мышкой из меню ublock origin)
    Ставить лучше именно noop а не allow, чтобы статические фильтры срабатывали.

     
     
  • 5.37, Урри (?), 14:48, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Которое блочит все сторонние (по отношению к текущему домену) скрипты
    > Минус - половина сайтов ломается и приходится ставить

    С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами мышки, без ручного внесение записей в список.

     
     
  • 6.40, Гентушник (ok), 17:14, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами
    > мышки, без ручного внесение записей в список.

    В Ublock Origin это делается точно так же :)
    Там интерфейс почти одинаковый, разработчик ведь тот же.

     
  • 2.20, нах (?), 10:06, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    хха, он там не счетчики использует, он там куда более интересные штуки использует - яндексу сливаются поля форм! То есть все, что не скринится явно - имена-отчества которые банки так любят "для предупреждения подмены сообщений", адреса, телефоны, местами куски номеров счетов.

    ну а что вы хотите, им же нннннадо! (аж в жееппе свербит как надо) знать что за кнопки и в каком порядке вы нажимали, а скромный сбербанк, владелец двух десятков многоэтажных ни разу ни для клиентов предназначенных зданий в одной только Москве, где сидит с пол-миллиона офисных рабов, прикованных к мониторам - конечно же не может выделить собственных разработчиков подобных средств, это нестильно, немодно и не молодежно.

    то есть там даже не нужно ломать яндекс или гугль, там достаточно подсунуть порно-линк эффективному менеджеру, взявшему работу на дом, чтобы он слил тебе пароль от яндексовой учетки. Где все будет в уже удобно обработанном виде, бери и пользуйся, и далеко-далеко от сберовской службы безопасности - если она у них вообще есть и работает, что сомнительно.

     
  • 2.21, йцукен (??), 10:28, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще и карты геолокацию в открытом виде пересылают , покрайне мере сберонлайн, кроме этого сучится на касперовские сервера раскинутые по миру 443 1443 порта, что он там передает кто знает .
     
  • 2.22, qwerty (??), 11:28, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А учитывая тот список разрешение на IOS/android в совокупности с касперским, следует пологать что после установки СбербанкОнлайн, Спербанк имеет все наши данные, фото, видео, геолокацию, переписку итд., и не нужно никаких счетвиков и прочего говна, достаточно установить сберокасперский ТРОЯН.
     
     
  • 3.29, нах (?), 15:29, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    наивняк! В том и дело что их имеет не сбербанк, а все кто его имеет - от касперского до гугля.
    ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
     
     
  • 4.31, Аноним (31), 17:15, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > наивняк! В том и дело что их имеет не сбербанк, а все
    > кто его имеет - от касперского до гугля.
    > ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.

    Ну, здесь имеется и некоторый положительный момент (для кого? ;)
    Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо, ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(
    Это все они, они и они...


     
     
  • 5.38, нах (?), 17:03, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо,
    > ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(

    ты все еще слишком хорошего о них мнения, на самом деле - вот как надо:

    https://www.rbc.ru/society/17/07/2018/5b4d0ed19a79475894dff274

    утекли сканы паспортов? "Информация по этим ссылкам не содержит персональных данных клиентов Сбербанка и не несет для них никакого риска. Банк и его клиенты надежно защищены".


     

  • 1.10, Анонимуз (?), 00:30, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Варюсь в криптотеме и могу с полной уверенностью заявить, что 99% "взломов" криптобирж - это простое решение админа забрать все деньги и уехать в Рио-де-Жанейро, не более.
     
     
  • 2.11, leave home (?), 00:39, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Пост из Рио?
     

  • 1.12, Аноним (12), 00:40, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот тут все восхваляют uBlock, а недавний пример с mega.nz показал, что расширения тоже могут протроянить вне зависимости от репутации.

    Кто не знает, в фаерфоксе отлично работают списки блокировки от disconnect. Включать в настройках приватности.

    Да, рекламу на Ютубе не режет, но это все же на 1 потенциально скомпрометированный источник кода меньше.

     
     
  • 2.13, Crazy Alex (ok), 01:09, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну да, только функциональность несравнима. Тогда логичный следующий шаг - links
     
     
  • 3.24, Аноним (24), 11:45, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нужно сразу привыкать к хорошему:
    curl "https://www.opennet.ru/opennews/art.shtml?num=49568"
     
  • 2.25, Аноним (25), 14:00, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >недавний пример с mega.nz показал

    щас бы не отключать на три буквы "автоматическое обновление" с функцией "автоматической загрузки троянов"

     

  • 1.15, Аноним (15), 02:59, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тут любопытно то, что в службе статистики, много лет вравшей нам про долю IE, работают люди, компетентные настолько, что не могут мгновенно закрыть очевидную уязвимость.
     
  • 1.17, Нанобот (ok), 08:04, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице и менять её содержимое? может запускать его в iframe и подключать его как-то по особому?
     
     
  • 2.26, Аноним (26), 14:38, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво пожалел? Жадина!
     
     
  • 3.27, Нанобот (ok), 14:49, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво
    > пожалел? Жадина!

    т.е. ты не знаешь? и пытаешься перевести разговор на тему моих личных качеств. ок, пнх.

     
  • 2.36, Гентушник (ok), 07:27, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
    > и менять её содержимое? может запускать его в iframe и подключать
    > его как-то по особому?

    Можно его просто не запускать. Для блокировки есть множество разных расширений, например ublock origin.

     
     
  • 3.42, Нанобот (ok), 20:31, 09/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
    >> и менять её содержимое? может запускать его в iframe и подключать
    >> его как-то по особому?
    > Можно его просто не запускать. Для блокировки есть множество разных расширений, например
    > ublock origin.

    да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

     
     
  • 4.43, пох (?), 22:27, 09/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    может - если он и правда разработчик, нарисовать собственный счетчик для никому ненужного сайта, с кодом, располагающимся внутри самого сайта, не должно представлять для него ни малейшей проблемы.

    хотя обычно для "собственных сайтов" и этого не требуется (случаи неудержимого желания подглядывать за индивидуальными движениями мыши пользователя оставим отдельно), есть логи и есть их анализаторы. К сожалению, эффективные менеджеры ничего о них не слышали, да и разработчиков никаких давно нет, есть кодошлепы, ctrlc/ctrlv, и хорошо если из ответа на stackoverflow, а не из вопроса.

     
  • 4.44, Гентушник (ok), 22:34, 09/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить
    > счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

    Прикрутить какой-нибудь гугель-аналитик чтобы он не шастал куда не надо и не сливал данные гуглю? Вряд ли.

    Зато разработчик может развернуть на своём сайте собственную систему аналитики, например piwik.

     

  • 1.23, Аноним (23), 11:37, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    О content security policy разработчики биржи не слышали, а он бы здесь помог.
     
     
  • 2.34, Аноним (34), 21:20, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет не помог бы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру