Атака на биржу криптовалюты через взлом счётчика StatCounter

Зaфиксирoвaн взлoм пoпулярнoгo сeрвисa web-aнaлитики StatCounter, JavaScript-кoд сo счётчикoм кoтoрoгo рaзмeщён нa бoлee чeм двуx миллионах сайтах, а сумма загрузок составляет около 10 миллиардов страниц в диск). По данным компании ESET взламывание выполнен для совершения целевой атаки держи биржу криптовалют gate.io, на страницах которой размещён шифр счётчика StatCounter. После взлома злоумышленники добавили в адрес счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный адрес активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична в целях сайта Gate.io и используется на странице перевода средств. Близ совпадении маски осуществляется загрузка дополнительного скрипта https://www.statconuter.com/c.php (атакующими зарегистрирован владение statconuter.com, который отличается от statcounter.com переменой двух букв - "nu" в обмен. Ant. наряду с "un"), который содержит код во (избежание атаки на gate.io. В случае обнаружения в форме перевода Bitcoin-адреса, вредоносный адрес заменяет его на Bitcoin-местоположение злоумышленников во время нажатия кнопки исполнение) отправки средств. Для каждой жертвы используется частный подставной Bitcoin-адрес (при каждой загрузке скрипта c.php генерируется новехонький Bitcoin-адрес), что затрудняет проверка ущерба от атаки. Атака была совершена 3 ноября и то время) как сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) задолго. Ant. с сих пор содержит вредоносное отклонение (скрипт упакован утилитой packer пользу кого экономии трафика, поэтому без распаковки рождение вредоносного кода не бросается в глазенапы). Выявившие проблему исследователи направили в StatCounter передача сведений о проблеме, но пока не получили ответа. Администраторы Gate.io удалили тотализатор со своих страниц, но дьявол продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Невзирая на то, что вредоносный адрес нацелен только на компрометацию биржи Gate.io, отнюдь не исключено, что злоумышленники в любой могут трансформировать код счётчика для совершения паче масштабной универсальной атаки (например, в (видах захвата паролей или платёжной информации возьми сайтах со счётчиком StatCounter). Гейзер: http://www.opennet.ru/opennews/art.shtml?num=49568