针对虚拟货币交易平台gate.io的供应链攻击分析,StatCounter背锅

释放双眼,带上耳机,听听看~!

StatCounter是一个网站流量分析工具,主要提供网页浏览器的使用分布的讯息。

11月3日,攻击者成功攻击了网络分析平台StatCounter。许多网站管理员都使用此服务来收集访问者的统计信息。

为此,网站管理员通常会在每个网页中添加一个外部JavaScript代码,其中包含来自StatCounter的一段代码:www.statcounter.com/counter/counter.js。

因此,通过入侵StatCounter平台,攻击者可以在使用StatCounter的所有网站中注入JavaScript代码。

在counter.js 里,使用Dean Edwards压缩了一段代码

解开后如下

这段代码将首先检查URL是否包含  myaccount/withdraw/BTC。

合理猜测攻击者的目标是以比特币平台为目标。

如果检查通过,脚本将继续向网页添加新的脚本元素,并将代码合并到https://www.statconuter.com/c.php

注意上面,域名是不一样的,攻击者把un换了位置。

经过排查,只有gate.io具有带有此URI的有效页面。

(www.gate.io/myaccount/withdraw/BTC)

gate.io,炒币的大佬们都知道,不多说。

BTC提现界面

https://www.statconuter.com/c.php 解压后代码如下

在真正的gate.io网页中,已经有一个doSubmit函数,当用户点击提交按钮时调用,但攻击者在这里重新定义它。

该脚本会自动使用属于攻击者的地址替换目标比特币地址,例如1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad。

每次访问者加载Https://www.statconuter.com/c.php脚本时,恶意服务器都会生成一个新的比特币地址

因此,很难看出有多少比特币已转移给攻击者。

根据受害者是否输入超过10 BTC的金额,攻击者的脚本将使用它或使用受害者帐户的每日提款限额。默认情况下,提款限额设置为100 BTC。最后,恶意脚本提交表单,该表单执行从受害者帐户到攻击者钱包的转移。

这种重定向可能对受害者来说不明显,因为替换是在他们点击提交按钮后执行的。因此,它会很快发生,甚至可能不会显示。

由于每次将恶意脚本发送给受害者时都会生成一个新的比特币地址,因此无法看到攻击者收集了多少比特币。例如,如果我们检查我们在测试机器上收到的地址,则余额为0 BTC。

因此,建议各位对使用外部js代码库时候谨慎小心,目前已经修复。

详情请点击原文链接。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Linux 后渗透测试常用命令列表

2019-10-16 10:44:08

安全工具

今日情报:斯诺登爆料新的NSA情报,后附相关文件链接

2019-10-16 10:44:15

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索