Các hacker đã đưa mã độc vào StatCounter để đánh cắp doanh thu bitcoin từ các tài khoản Gate.io, theo nghiên cứu của Eset, Matthieu Faou, người đã phát hiện ra vi phạm này. Mã độc đã được thêm vào tập lệnh theo dõi trên trang web của StatCounter.

Các mã độc chiếm quyền điều khiển mọi giao dịch bitcoin được thực hiện qua giao diện Web của sàn giao dịch tiền điện tử Gate.io. Nó sẽ không kích hoạt trừ khi liên kết trang chứa đường dẫn "myaccount /withdraw/BTC". Mã độc có thể bí mật thay thế bất kỳ địa chỉ bitcoin nào mà người dùng nhập trên trang web bằng một địa chỉ do kẻ tấn công kiểm soát. Các chuyên gia bảo mật xem các hành vi này là nghiêm trọng vì rất nhiều trang web tải tập lệnh theo dõi của StarCounter.

"Vi phạm bảo mật này thật sự là quan trọng khi xem xét điều đó - theo StatCouter - hơn 2 triệu trang web đang sử dụng nền tảng phân tích của họ" Faou nói với Technewsworld. "Bằng cách sửa đổi tập lệnh phân tích được chèn trong tất cả 2 triệu trang web đó những kẻ tấn công đã có thể thực thi mã JavaScript trong trình duyệt của tất cả người dùng truy cập trang web này."

Limited Target, Broad Potential

Cuộc tấn công cũng rất có ý nghĩa vì nó cho thấy sự tinh vi ngày càng tăng giữa các tin tặc liên quan đến các công cụ và phương thức mà chúng sử dụng để đánh cắp tiền điện tử, George Waller CEO của BlockSafe Technologies lưu ý. Mặc dù hình thức chiếm quyền điều khiển này không phải là một hiện tượng mới, chỉ là cách thức chèn mã.

Sự phát triển của thị trường tiền điện tử và lớp tài sản mới nổi của nó đã khiến tin tặc tăng cường đầu tư để nghĩ ra những phương pháp và nỗ lực mạnh mẽ hơn để đánh cắp nó. Phần mềm độc hại được sử dụng không có gì mới, nhưng phương thức phân phối nó là mới.
"Kể từ đầu năm 2017, các sàn giao dịch tiền điện tử đã phải chịu hơn 882 triệu đô la tiền bị đánh cắp thông qua các cuộc tấn công được nhắm mục tiêu trên ít nhất 14 sàn. Vụ hack này thêm một danh sách nữa", Waller nói với TechNewsWorld.

Trong trường hợp này, những kẻ tấn công đã chọn nhắm mục tiêu người dùng tại Gate.io, một sàn giao dịch tiền điện tử quan trọng, theo Faoul của Eset. Khi người dùng gửi rút tiền bitcoin, những kẻ tấn công trong thời gian thực đã thay thế địa chỉ đích bằng một địa chỉ dưới sự kiểm soát của họ.

Những kẻ tấn công đã có thể nhắm mục tiêu Gate.io bằng cách thỏa hiệp một tổ chức bên thứ ba, một chiến thuật được gọi là "tấn công chuỗi cung ứng". Họ có thể đã nhắm mục tiêu nhiều trang web hơn, Faoul lưu ý.

"Chúng tôi đã xác định một số trang web của chính phủ đang sử dụng StatCounter. Vì vậy, điều đó có nghĩa là những kẻ tấn công sẽ có thể nhắm mục tiêu vào nhiều người thú vị", ông nói.

Telling Financial Impact

Các khách hàng của Gate.io đã bắt đầu giao dịch bitcoin trong thời gian bị tấn công có nguy cơ cao nhất từ ​​vi phạm này. Phần mềm độc hại đã tấn công các giao dịch được ủy quyền hợp pháp bởi người dùng trang web bằng cách thay đổi địa chỉ đích của các giao dịch chuyển bitcoin, theo Paige Boshell, thành viên quản lý của Privacy Couns.

Theo quy định, số lượng tập lệnh của bên thứ ba, chẳng hạn như StatCouter, nên được các quản trị web giữ ở mức tối thiểu, vì mỗi tập lệnh đại diện cho một vectơ tấn công tiềm năng. Đối với trao đổi, xác nhận bổ sung cho việc rút tiền sẽ có lợi trong trường hợp này, do việc khai thác liên quan đến việc hoán đổi địa chỉ bitcoin của người dùng cho địa chỉ của kẻ trộm. "Gate.io đã hạ bệ StatCouter, vì vậy cuộc tấn công đặc biệt này cần được kết thúc, Boshell nói với TechNewsWorld. 

Mức độ tổn thất và tiếp xúc gian lận cho vi phạm này vẫn chưa thể định lượng được. Những kẻ tấn công đã sử dụng nhiều địa chỉ bitcoin để chuyển tiền, Boshell nói thêm, lưu ý rằng cuộc tấn công có thể đã được triển khai để tác động đến bất kỳ trang web nào sử dụng StatCounter.

Protection Strategies Not Foolproof

Sự phát triển của thị trường tiền điện tử và lớp tài sản mới nổi của nó đã khiến tin tặc tăng cường đầu tư để nghĩ ra những nỗ lực và phương pháp mạnh mẽ hơn để đánh cắp nó. Phần mềm độc hại được sử dụng không có gì mới, nhưng phương thức phân phối nó là.

StatCorer cần cải thiện kiểm soát mã của riêng mình và liên tục kiểm tra xem có mã được ủy quyền đang chạy trên mạng của mình hay không, Joshua Marpet, COO tại Red Lion đề xuất. Tuy nhiên, hầu hết người dùng sẽ không nhận ra rằng StatCouter có lỗi. "Họ sẽ đổ lỗi cho Gate.io và bất cứ điều gì có thể xảy ra - mất việc kinh doanh, chạy ngân hàng" và thậm chí đóng cửa, "ông nói với TechNewsWorld.

Kiểm tra mã không phải lúc nào cũng là một kế hoạch phòng ngừa khả thi. Trong trường hợp này, mã phần mềm độc hại trông giống như hướng dẫn riêng của người dùng Gate.io, Boshell của Privacy Couns lưu ý. "Không thể dễ dàng phát hiện ra bởi các công cụ gian lận mà Gate.io sử dụng để bảo vệ chống lại và phát hiện phần mềm độc hại", cô nói.

Người quản trị không thực sự bị ảnh hưởng trong loại vi phạm này, vì mã độc được xử lý tại máy trạm / máy tính xách tay thay vì trên máy chủ web, theo Brian Chappell, giám đốc cấp cao về kiến ​​trúc doanh nghiệp và giải pháp tại BeyondTrust. Nó cũng không cung cấp bất kỳ cơ chế nào để giành quyền kiểm soát hệ thống. Ngay cả một trang web được bảo vệ tốt cũng có thể bị vi phạm bằng cách thỏa hiệp kịch bản của bên thứ ba, Faou của Eset lưu ý.

Vì vậy, các quản trị web nên chọn cẩn thận mã JavaScript bên ngoài mà họ đang liên kết và tránh sử dụng chúng nếu không cần thiết", ông nói

More Best Practices

"Nếu khách hàng của Gate.io có ứng dụng yêu cầu xác thực ngoài băng tần cao hơn một số tiền nhất định hoặc nếu giao dịch nhắm vào người nhận không xác định, thì khách hàng của họ sẽ có cơ hội chặn giao dịch và đạt được sớm cái nhìn sâu sắc rằng một cái gì đó sai đã xảy ra, "Oliveira nói với TechNewsWorld.

Sử dụng các tiện ích chặn tập lệnh như NoScript và uBlock / uMatrix có thể đặt thước đo kiểm soát cá nhân trong tay người dùng của trang web. Nó làm cho việc duyệt web trở nên khó khăn hơn, Raymond Zenkich, COO của BlockRe lưu ý. "Nhưng bạn có thể thấy mã nào đang được kéo vào một trang web và vô hiệu hóa nó nếu không cần thiết", ông nói với TechNewsWorld.

"Các nhà phát triển web cần ngừng đưa các tập lệnh của bên thứ ba lên các trang nhạy cảm và đặt trách nhiệm của họ cho người dùng của họ đối với mong muốn của họ về tiền quảng cáo, số liệu, v.v.", Zenkich nói.

Beware Third-Party Anythings

"Đối với trao đổi, xác nhận bổ sung cho việc rút tiền cũng sẽ có lợi trong trường hợp này, do việc khai thác liên quan đến việc hoán đổi địa chỉ bitcoin của người dùng cho kẻ trộm", ông nói với TechNewsWorld. Ngay cả các giải pháp gia công của bên thứ ba cũng có thể mở ra cánh cửa cho các shenanigans trên mạng, cảnh báo Zhang Jian, người sáng lập FCoin.

"Vì vậy, nhiều công ty trong không gian tiền điện tử phụ thuộc vào các công ty bên thứ ba cho nhiệm vụ khác nhau. Sự phân nhánh của việc thuê ngoài này là mất trách nhiệm. quá muộn ", anh nói với TechNewsWorld.

Thay vào đó, quản trị viên mạng nên hướng tới việc tạo các phiên bản nội bộ của các công cụ và sản phẩm của họ, từ đầu đến cuối, Jian đề xuất, để đảm bảo rằng việc kiểm soát các biện pháp bảo mật này nằm trong tầm tay của họ.

Nguồn internet ...