StatCounter分析代码被劫持，用于从加密货币用户处窃取比特币

上周晚些时候，一名身份不明的黑客或一群黑客成功锁定了一家加密货币交易所，目的是通过破坏其使用的网络分析服务窃取比特币。

ESET恶意软件研究人员Matthieu Faou本周末在多达70万个网站上发现了恶意JavaScript代码，这些代码与领先的网络分析平台的流量跟踪代码捆绑在一起StatCounter.
然而，在分析代码后，研究人员发现，黑客成功地破坏了StatCounter，并成功地用恶意JavaScript代码替换了它的跟踪脚本，这些代码主要是针对StatCounter的客户设计的大门木卫一加密货币交换。

与Google Analytics一样，StatCounter也是一个古老但受欢迎的实时网络分析平台，据报道有超过200万个网站使用它，每月生成超过100亿次页面浏览量的统计数据。

以下是黑客如何试图从加密交易所窃取比特币

尽管恶意代码也通过StatCounter服务注入了其他数十万个网站，但只有当网页的URL或内容包含特定的统一资源标识符（URI）时，脚本才会被激活：我的账户/取款/BTC.

“myaccount/Draw/BTC”URI专门与一个门关联.io网页，提供用户进行比特币取款和转账。

该恶意脚本旨在将传输的目标比特币地址替换为黑客的地址。

“该脚本会自动将目标比特币地址替换为属于攻击者的地址，例如1JRFLMGVK1HO1UCMPQ1WYIRHPTCCHYR2JAD，”Faou在周二发布的一份报告中解释道。

“每次访问者加载StatCounter时，恶意服务器都会生成一个新的比特币地址[.]com/c.php脚本。因此，很难看出有多少比特币被转移给了攻击者，”他补充道。

“由于每次向受害者发送恶意脚本时都会生成一个新的比特币地址，我们无法看到攻击者收集了多少比特币”。

据研究人员称，恶意脚本被添加到合法StatCounter的JavaScript中间，这通常会使恶意代码更难通过“随意观察”检测到。

大门io在安全漏洞后删除StatCounter

攻击者于11月3日成功入侵StatCounter，ESET在11月5日发现该黑客时通知了该公司，安全公司称其为“供应链”攻击，因为恶意脚本出现在目标使用的服务上。

“即使我们不知道有多少比特币在这次攻击中被盗，它也显示了攻击者攻击某个特定网站的程度，尤其是加密货币交易所，”研究人员说。

StatCounter在11月6日，即登机门前几个小时删除了恶意脚本。io加密货币交换平台停止使用流行的分析服务，以防止进一步损坏。

大门io还声称，该公司随后用56种防病毒产品扫描了其网站，“当时没有人报告任何可疑行为”。

该交易所还报告称其“用户的资金是安全的”，但没有透露11月3日至6日之间进行转账的客户中有多少人丢失了资金，也没有承诺赔偿这些用户。

 

大门io还敦促其客户通过启用双因素身份验证（2FA）和两步登录保护，最大限度地提高其帐户的安全级别。