Il 3 novembre, gli hacker hanno violato con successo StatCounter, una delle principali piattaforme di analisi Web. Questo servizio è utilizzato da molti webmaster per raccogliere statistiche sui loro visitatori – un servizio molto simile a Google Analytics. Per fare ciò, i webmaster di solito aggiungono un tag JavaScript esterno che incorpora una parte di codice da StatCounter – www.statcounter [.] com / counter / counter.js – in ogni pagina Web. Pertanto, compromettendo la piattaforma StatCounter, i criminali possono inserire il codice JavaScript in tutti i siti Web che utilizzano StatCounter.
Secondo i dati della stessa azienda, StatCounter è utilizzato da oltre di 2 milioni di siti e calcola statistiche per oltre 10 miliardi di pagine visitate al mese. Questa informazione è in linea con il punteggio riportato da Alexa che è di poco superiore a 5000. Per fare un confronto, Alexa assegna al sito ufficiale della distribuzione Debian Linux, debian.org, un rank molto simile.
I criminali hanno modificato lo script in www.statcounter [.] com / contatore / counter.js aggiungendo del codice malevolo, identificato come “prettified” proprio nel mezzo dello script. Ciò è inusuale poichè solitamente gli hacker lo aggiungono all’inizio o alla fine di un file legittimo. Il codice iniettato nel mezzo di uno script esistente è in genere più difficile da rilevare.
Lo script è compresso con il packer di Dean Edwards, che è probabilmente il packer JavaScript più popolare. Tuttavia, può essere facilmente decompresso, rendendolo così possibile da eseguire come mostrato di seguito.
Questa porzione di codice verificherà innanzitutto se l’URL contiene myaccount / withdraw / BTC . Quindi, è possibile già supporre che l’obiettivo dei criminali sia quello di raggiungere una piattaforma Bitcoin. Se il controllo passa, lo script continua ad aggiungere un nuovo elemento script alla pagina Web e a incorporare il codice in https: //www.statconuter [.] com / c.php.
Da notare che gli hacker hanno registrato un dominio molto simile a quello legittimo di StatCounter, statcounter [.] com, semplicemente cambiando due lettere, che possono essere difficili da rilevare quando si controllano i registri alla ricerca di attività insolite. È interessante notare che, controllando il DNS passivo del dominio, questo era già stato sospeso nel 2010 per abuso.
Come spiegato sopra, lo script punta a uno specifico indirizzo URL (Uniform Resource Identifier): myaccount / withdraw / BTC. I ricercatori di ESET hanno inoltre scoperto che tra i diversi servizi di scambio in tempo reale di criptovaluta, attualmente solo gate.io ha una pagina valida con questo URL, pertanto questo servizio di scambio sembra essere l’obiettivo principale dell’attacco. Questa piattaforma è piuttosto popolare, considerando che viene classificata da Alexa con un punteggio di 26251.