The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.11.2018 21:46  Атака на биржу криптовалюты через взлом счётчика StatCounter

Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтов, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter.

После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта Gate.io и используется на странице перевода средств. При совпадении маски осуществляется загрузка дополнительного скрипта https://www.statconuter.com/c.php (атакующими зарегистрирован домен statconuter.com, который отличается от statcounter.com переменой двух букв - "nu" вместо "un"), который содержит код для атаки на gate.io.

В случае обнаружения в форме перевода Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников во время нажатия кнопки для отправки средств. Для каждой жертвы используется отдельный подставной Bitcoin-адрес (при каждой загрузке скрипта c.php генерируется новый Bitcoin-адрес), что затрудняет отслеживание ущерба от атаки.

Атака была совершена 3 ноября и пока сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение (скрипт упакован утилитой packer для экономии трафика, поэтому без распаковки появление вредоносного кода не бросается в глаза). Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.

Администраторы Gate.io удалили счётчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не исключено, что злоумышленники в любой момент могут изменить код счётчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платёжной информации на сайтах со счётчиком StatCounter).

  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  3. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
  4. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
  5. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
  6. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: statcounter, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.4, Аноним (4), 22:17, 06/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    Надеюсь что все подобные счетчики яростно режутся uBlock'ом из коробки
     
     
  • 2.8, Аноним (8), 00:06, 07/11/2018 [^] [ответить]    [к модератору]
  • +19 +/
    На коробку надейся, а подписки добавь.
     
  • 2.28, Александр (??), 15:12, 07/11/2018 [^] [ответить]    [к модератору]
  • +6 +/
    Пока не ломанут uBlock и он сам не начнет делать тихо тоже самое.
     
     
  • 3.33, Аноним (33), 19:48, 07/11/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Ну собирай из исходников, кто мешает?)
     
  • 1.5, Аноним (5), 22:22, 06/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +6 +/
    Следующий уровень атаки - взлом Cloudflare? А впрочем даже если их всех взломают, макакам впрок не пойдёт и они продолжат подгружать говно с CDN без проверки хеша.
     
     
  • 2.14, Аноним (14), 01:19, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Флаг в руки "легко" разобраться с инфраструктурой типа CloudFlare.
     
     
  • 3.19, кульхаксор (?), 09:58, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а зачем мне разбираться? Мне ж надо одну-единственную дырку найти, а не детально разобраться в технологии. А это делается совсем-совсем с другого конца.

     
     
  • 4.39, Всем Анонимам Аноним (?), 17:14, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы сравниваете с домашним сервером или мелким. Например, некоторые команды, которые Вы думаете только показывают данные, могут сломать вещи. Я уж молчу про вопрос где хранятся конфиги, как они обновляются (скорее всего в несколько стадий) и т.п.
     
  • 3.30, Аноним (30), 17:08, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Большинство обменников работают через cloudflare, который митмит весь трафик ht... весь текст скрыт [показать]
     
     
  • 4.41, Всем Анонимам Аноним (?), 17:16, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Скорее всего top 10000 сайтов таки или иначе используют CDN, включая банки. Для этого CDN имеют PCI сертификвцию. Она хоть как-то сдерживает девелоперов, для которых слово безопасность нет в лексиконе.
     
  • 1.6, Аноним (6), 22:23, 06/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +18 +/
    Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex и каких-то левых контор.

    https://www.sberbank.com/ru/personal_policy
    "в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто"

     
     
  • 2.7, Аноним84701 (ok), 22:51, 06/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну дык, тут с одной стороны есть риск, что взломают вас чисто технически на ва... весь текст скрыт [показать]
     
  • 2.9, Гентушник (ok), 00:09, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тоже охренел когда такую подставу обнаружил. Писал им в саппорт, но они это за потенциальную уязвимость не считают.
    Хорошо хоть ublock зарезал все эти счётчики.
     
     
  • 3.18, Аноним (18), 09:43, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты сам вносил? Можно конфиг?
     
     
  • 4.35, Гентушник (ok), 07:18, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ты сам вносил? Можно конфиг?

    Я сам не вносил. Счётчики зарезали статические фильтры из вот этих вот подписок:
    EasyList
    EasyPrivacy
    RUS: RU AdList
    Peter Lowe’s Ad and tracking server list


    А вообще, помимо вышесказанных подписок я использую правило динамической фильтрации
    * * 3p-script block
    Которое блочит все сторонние (по отношению к текущему домену) скрипты и всякие такие счётчики режутся ещё до применения статических фильтров.
    Минус - половина сайтов ломается и приходится ставить
    example.com * 3p-script noop
    (правило ставится мышкой из меню ublock origin)
    Ставить лучше именно noop а не allow, чтобы статические фильтры срабатывали.

     
     
  • 5.37, Урри (?), 14:48, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Которое блочит все сторонние (по отношению к текущему домену) скрипты
    > Минус - половина сайтов ломается и приходится ставить

    С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами мышки, без ручного внесение записей в список.

     
     
  • 6.40, Гентушник (ok), 17:14, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами
    > мышки, без ручного внесение записей в список.

    В Ublock Origin это делается точно так же :)
    Там интерфейс почти одинаковый, разработчик ведь тот же.

     
  • 2.20, нах (?), 10:06, 07/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    хха, он там не счетчики использует, он там куда более интересные штуки используе... весь текст скрыт [показать]
     
  • 2.21, йцукен (??), 10:28, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Еще и карты геолокацию в открытом виде пересылают , покрайне мере сберонлайн, кроме этого сучится на касперовские сервера раскинутые по миру 443 1443 порта, что он там передает кто знает .
     
  • 2.22, qwerty (??), 11:28, 07/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А учитывая тот список разрешение на IOS android в совокупности с касперским, сле... весь текст скрыт [показать]
     
     
  • 3.29, нах (?), 15:29, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    наивняк! В том и дело что их имеет не сбербанк, а все кто его имеет - от касперского до гугля.
    ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
     
     
  • 4.31, Аноним (31), 17:15, 07/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну, здесь имеется и некоторый положительный момент для кого Теперь сбербанк... весь текст скрыт [показать]
     
     
  • 5.38, нах (?), 17:03, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо,
    > ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(

    ты все еще слишком хорошего о них мнения, на самом деле - вот как надо:

    https://www.rbc.ru/society/17/07/2018/5b4d0ed19a79475894dff274

    утекли сканы паспортов? "Информация по этим ссылкам не содержит персональных данных клиентов Сбербанка и не несет для них никакого риска. Банк и его клиенты надежно защищены".


     
  • 1.10, Анонимуз (?), 00:30, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Варюсь в криптотеме и могу с полной уверенностью заявить, что 99% "взломов" криптобирж - это простое решение админа забрать все деньги и уехать в Рио-де-Жанейро, не более.
     
     
  • 2.11, leave home (?), 00:39, 07/11/2018 [^] [ответить]    [к модератору]  
  • +16 +/
    Пост из Рио?
     
  • 1.12, Аноним (12), 00:40, 07/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Вот тут все восхваляют uBlock, а недавний пример с mega nz показал, что расширен... весь текст скрыт [показать]
     
     
  • 2.13, Crazy Alex (ok), 01:09, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ну да, только функциональность несравнима. Тогда логичный следующий шаг - links
     
     
  • 3.24, Аноним (24), 11:45, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    нужно сразу привыкать к хорошему:
    curl "https://www.opennet.ru/opennews/art.shtml?num=49568"
     
  • 2.25, Аноним (25), 14:00, 07/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >недавний пример с mega.nz показал

    щас бы не отключать на три буквы "автоматическое обновление" с функцией "автоматической загрузки троянов"

     
  • 1.15, Аноним (15), 02:59, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Тут любопытно то, что в службе статистики, много лет вравшей нам про долю IE, работают люди, компетентные настолько, что не могут мгновенно закрыть очевидную уязвимость.
     
  • 1.17, Нанобот (ok), 08:04, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице и менять её содержимое? может запускать его в iframe и подключать его как-то по особому?
     
     
  • 2.26, Аноним (26), 14:38, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво пожалел? Жадина!
     
     
  • 3.27, Нанобот (ok), 14:49, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво
    > пожалел? Жадина!

    т.е. ты не знаешь? и пытаешься перевести разговор на тему моих личных качеств. ок, пнх.

     
  • 2.36, Гентушник (ok), 07:27, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
    > и менять её содержимое? может запускать его в iframe и подключать
    > его как-то по особому?

    Можно его просто не запускать. Для блокировки есть множество разных расширений, например ublock origin.

     
     
  • 3.42, Нанобот (ok), 20:31, 09/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
    >> и менять её содержимое? может запускать его в iframe и подключать
    >> его как-то по особому?
    > Можно его просто не запускать. Для блокировки есть множество разных расширений, например
    > ublock origin.

    да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

     
     
  • 4.43, пох (?), 22:27, 09/11/2018 [^] [ответить]    [к модератору]  
  • +/
    может - если он и правда разработчик, нарисовать собственный счетчик для никому ненужного сайта, с кодом, располагающимся внутри самого сайта, не должно представлять для него ни малейшей проблемы.

    хотя обычно для "собственных сайтов" и этого не требуется (случаи неудержимого желания подглядывать за индивидуальными движениями мыши пользователя оставим отдельно), есть логи и есть их анализаторы. К сожалению, эффективные менеджеры ничего о них не слышали, да и разработчиков никаких давно нет, есть кодошлепы, ctrlc/ctrlv, и хорошо если из ответа на stackoverflow, а не из вопроса.

     
  • 4.44, Гентушник (ok), 22:34, 09/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить
    > счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?

    Прикрутить какой-нибудь гугель-аналитик чтобы он не шастал куда не надо и не сливал данные гуглю? Вряд ли.

    Зато разработчик может развернуть на своём сайте собственную систему аналитики, например piwik.

     
  • 1.23, Аноним (23), 11:37, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    О content security policy разработчики биржи не слышали, а он бы здесь помог.
     
     
  • 2.34, Аноним (34), 21:20, 07/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет не помог бы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor