Hackean una reconocida plataforma de intercambio de criptomonedas

Según los investigadores de ESET un grupo de ciberdelincuentes vulneraron el pasado 3 de noviembre la seguridad de StatCounter, una conocida plataforma de análisis web con el fin de robar bitcoins. Esta reciente investigación de ESET muestra cuán lejos están dispuestos a llegar los atacantes para poder robar bitcoins a los clientes de un exchange específico de monedas virtuales.


Los atacantes vulneraron la seguridad de StatCounter, cuyo servicio es utilizado por muchos para extraer datos estadísticos sobre las visitas que recibe un sitio; similar al que ofrece Google Analytics. StatCounter es utilizado por más de dos millones de sitios y computa estadísticas de más de 10 mil millones de páginas vistas por mes.

center

Los atacantes modificaron el script [http://www.statcounter[.]com/counter/counter.js]www.statcounter[.]com/counter/counter.js al agregarle una porción de código malicioso justo en el medio del archivo. Esto es inusual, ya que los atacantes generalmente añaden código malicioso al principio o al final de un archivo legítimo. La inyección de código en el medio de un script existente es generalmente difícil de detectar por medio de la observación casual.

Esta porción de código agregada primero revisará si la URL contiene myaccount/withdraw/BTC. De esta manera, podemos adivinar que el objetivo de los atacantes es dirigirse a una plataforma de Bitcoin. Si pasa la revisión, el script continua y añade un nuevo script en la página web e incorpora el código en [https://www.statconuter[.]com/c.php]https://www.statconuter[.]com/c.php.

Nótese que los atacantes registraron un dominio muy similar al sitio legítimo StatCounter[.]com. Tan solo cambiaron el orden de dos letras, las cuales son difíciles de notar al momento de revisar los logs por cualquier actividad inusual. Este dominio ya había sido suspendido en 2010 por uso abusivo.

Además, de acuerdo a coinmarketcap.com, varios millones de dolares, incluyendo 1.6 millones de dólares tan solo en transacciones de Bitcoin, pasan por esta plataforma cada día. Con lo cual, podría resultar muy redituable para los atacantes robar criptomonedas a gran escala en esta plataforma.

El sitio web https://www.gate[.]io/myaccount/withdraw/BTC, presentado más abajo, es utilizado para transferir Bitcoin desde la cuenta de gate.io hacia una dirección de Bitcoin externa.

center

Dependiendo de si la víctima ingresa un monto superior a los 10 BTC o no, se utilizará el script de los atacantes o se utilizará el límite diario de retiro que tiene la cuenta de la víctima. Finalmente, el script malicioso envía el formulario, el cual ejecuta la transferencia desde la cuenta de la víctima hasta la billetera del atacante.

Esta redirección probablemente pase desapercibida para la víctima, desde que el reemplazo es realizado luego de que hacen clic en el botón enviar. Con lo cual, sucede de manera muy rápida y probablemente ni siquiera sea desplegado.

A medida que se crea una nueva dirección de Bitcoin cada vez que el script malicioso es enviado a la víctima, no tenemos la posibilidad de ver cuántos bitcoins han logrado obtener los atacantes

Tags: , , , ,

Agencia
8 noviembre, 2018

Collection #1 marca una de las mayores fugas de datos

Uno de las mayores fuga de datos advertida esta semana, deja al descubierto 773 millones de cuentas de correo …

Seguir leyendo //

Hackean datos de cientos de políticos alemanes

Alemania ha sufrido uno de los mayores ataques informáticos de su historia, que ha afectado a cientos de políticos, …

Seguir leyendo //

Criptomonedas como agentes de ataques digitales

Entre las nuevas amenazas en el universo digital destacan el papel que el cibercrimen obliga a realizar a las …

Seguir leyendo //

El Cerebro parece ser la próxima víctima de los hackers

En el futuro, los cibercriminales tal vez puedan explotar implantes de memoria para robar, espiar, alterar o manipular recuerdos …

Seguir leyendo //