Что ни говорите, а преступность — один из двигателей прогресса, если не основной, то уж точно не последний. Клиентам криптобиржи Gate.io очень повезло, что замысел преступников удалось раскрыть быстро.
Statcounter — безобиднейший сервис, довольно популярный среди вебмастеров, анализирующих статистику посещения своих сайтов и поведение пользователей. Пользовались его платной версией и сотрудники криптобиржи Gate.io, во всяком случае до недавнего времени — сегодня биржа объявила, что отказывается от услуг сервиса.
Как говорится в сообщении биржи, 6 ноября отчет разработчика антивируса ESET выявил подозрительную активность, связанную со Statcounter. «Мы немедленно просканировали его через Virustotal с использованием 56 антивирусных продуктов. Жалоб не поступало, но мы решили прекратить сотрудничество со Statcounter… Средства клиентов в безопасности», — сообщает Gate.io.
Между тем случай представляется достаточно интересным, в первую очередь, за счет изощренности подхода. Неизвестный или неизвестные предпочли не атаковать напрямую биржу, а использовать более слабое звено, то есть вживить вредоносный скрипт в Statcounter, обрабатывающий статистику трафика страниц ее веб-сайта.
Не вдаваясь в технические тонкости, можно уточнить, что скрипт анализировал страницы на предмет содержания в их адресе «myaccount/withdraw/BTC». Если страница соответствовала запросу, этот скрипт должен был запускать уже другой код, размещенный на домене Statconuter.сom, отличающийся от оригинального Startcounter порядком 2 букв.
Единственный адрес, содержащий фразу, активирующую второй скрипт — это страница вывода биткоинов на внешний кошелек, используемая клиентами Gate.io.
Собственно функция второго скрипта — подмена адреса кошелька клиента, указываемого для вывода биткоинов. При этом скрипт каждый раз генерирует новый адрес, из-за чего проследить средства и оценить ущерб достаточно сложно. Средства должны были выводиться в размере, составляющем суточный лимит вывода отдельного пользователя.
