Hackean una reconocida plataforma de intercambio de criptomonedas

Según los investigadores de ESET un grupo de ciberdelincuentes vulneraron el pasado 3 de noviembre la seguridad de StatCounter, una conocida plataforma de análisis web con el fin de robar bitcoins. Esta reciente investigación de ESET muestra cuán lejos están dispuestos a llegar los atacantes para poder robar bitcoins a los clientes de un exchange específico de monedas virtuales.

Los atacantes vulneraron la seguridad de StatCounter, cuyo servicio es utilizado por muchos para extraer datos estadísticos sobre las visitas que recibe un sitio; similar al que ofrece Google Analytics. StatCounter es utilizado por más de dos millones de sitios y computa estadísticas de más de 10 mil millones de páginas vistas por mes.

Los atacantes modificaron el script [http://www.statcounter[.]com/counter/counter.js]www.statcounter[.]com/counter/counter.js al agregarle una porción de código malicioso justo en el medio del archivo. Esto es inusual, ya que los atacantes generalmente añaden código malicioso al principio o al final de un archivo legítimo. La inyección de código en el medio de un script existente es generalmente difícil de detectar por medio de la observación casual.

Esta porción de código agregada primero revisará si la URL contiene myaccount/withdraw/BTC. De esta manera, podemos adivinar que el objetivo de los atacantes es dirigirse a una plataforma de Bitcoin. Si pasa la revisión, el script continua y añade un nuevo script en la página web e incorpora el código en [https://www.statconuter[.]com/c.php]https://www.statconuter[.]com/c.php.

Nótese que los atacantes registraron un dominio muy similar al sitio legítimo StatCounter[.]com. Tan solo cambiaron el orden de dos letras, las cuales son difíciles de notar al momento de revisar los logs por cualquier actividad inusual. Este dominio ya había sido suspendido en 2010 por uso abusivo.

Además, de acuerdo a coinmarketcap.com, varios millones de dolares, incluyendo 1.6 millones de dólares tan solo en transacciones de Bitcoin, pasan por esta plataforma cada día. Con lo cual, podría resultar muy redituable para los atacantes robar criptomonedas a gran escala en esta plataforma.

El sitio web https://www.gate[.]io/myaccount/withdraw/BTC, presentado más abajo, es utilizado para transferir Bitcoin desde la cuenta de gate.io hacia una dirección de Bitcoin externa.

Dependiendo de si la víctima ingresa un monto superior a los 10 BTC o no, se utilizará el script de los atacantes o se utilizará el límite diario de retiro que tiene la cuenta de la víctima. Finalmente, el script malicioso envía el formulario, el cual ejecuta la transferencia desde la cuenta de la víctima hasta la billetera del atacante.

Esta redirección probablemente pase desapercibida para la víctima, desde que el reemplazo es realizado luego de que hacen clic en el botón enviar. Con lo cual, sucede de manera muy rápida y probablemente ni siquiera sea desplegado.

A medida que se crea una nueva dirección de Bitcoin cada vez que el script malicioso es enviado a la víctima, no tenemos la posibilidad de ver cuántos bitcoins han logrado obtener los atacantes