Los criminales informáticos están a la vanguardia y no pueden quedarse atrás; como muestra, piratas informáticos de criptomoneda han atacado uno de los servicios de análisis de tráfico más utilizados de Internet, StatCounter, con el fin de desviar Bitcoin de usuarios del portal de intercambio en línea Gate.io.
En un ataque dirigido, los piratas informáticos violaron StatCounter hasta tal punto que más de 688,000 sitios web fueron capturados cargando el script malicioso. Matthieu Faou, investigador de malware para la firma de ciberseguridad con sede en Bratislava, Eslovaquia, ESET, descubrió una línea de código malicioso en un script de seguimiento de tráfico de sitios web proporcionado por la firma líder de análisis de sitios web StatCounter, según informes de ZDNet.
StatCounter es muy similar a Google Analytics, ya que permite el análisis del tráfico de Internet que fluye a través de sitios web. Los webmasters deben agregar un código especial de StatCounter a sus sitios para obtener las estadísticas, un aspecto de su diseño que los piratas informáticos parecen haber aprovechado para difundir su código malicioso lo más ampliamente posible.
Ese requisito se ha convertido en una vulnerabilidad que lleva a más de 688,000 sitios web que cargan la línea de código malicioso.
Los cerca de 700.000 sitios web parecen estar a salvo de cualquier daño potencial, ya que el código malicioso se dirige específicamente a las transacciones Bitcoin que se realizan a través de intercambio criptomoneda Gate.io.
Este exchange ocupa actualmente el puesto 40 por volumen de comercio ajustado, según datos de CoinMarketCap, con casi $ 50 millones en volumen de comercio diario, haciendo del intercambio un objetivo atractivo y principal para los ciberdelincuentes.
Los investigadores de seguridad de ESET, fueron los primeros en descubrir el “exploit” , que describen como un “ataque de cadena de suministro”. De acuerdo con estos investigadores, el código se agregó por primera vez a la secuencia de comandos de seguimiento del sitio web de StatCounter el 3 de noviembre, y el código todavía está activo cuatro días después.
Según ESET, el código malicioso no haría nada a menos que el enlace contuviera una cadena específica: “myaccount / remove / BTC”. Los investigadores identificaron a Gate.io como el único sitio web que utiliza una URL que contenía esta cadena.
A pesar de la violación de la seguridad que duró días, es difícil decir cuántas personas se vieron afectadas por el ataque, o incluso cuánto lograron eliminar los piratas informáticos.
Los hackers también han tomado medidas para ocultar sus pistas, utilizando una dirección de Bitcoin diferente para cada nueva víctima que cae en el malware. Es posible que los usuarios ni siquiera noten el cambio de dirección hasta que sea demasiado tarde, ya que el malware está diseñado para activarse después de que el usuario haga clic en el botón Enviar para transferir fondos.
Debido a toda la incertidumbre que rodea al hackeo, Faou dice que no se sabe con cuántos BTC los piratas se han burlado como resultado.
Gate.io ha hecho una declaración en Twitter, afirmando haber eliminado el script de seguimiento de StatCounter de su sitio web. Sin embargo, aún parece existir una vulnerabilidad en la seguridad de StatCounter que podría afectar cualquiera de los dos millones de sitios web de servicios de StatCounter.
El propio StatCounter se encuentra entre los 2.500 sitios web más importantes de los Estados Unidos y ocupa el puesto 5.072 a nivel mundial, según los datos del Ranking de Tráfico Alexa.
Es por ello, que la recomendación de siempre será, guardar nuestras monedas en carteras frías o dispositivo físico, para mantenerlas alejadas de la vulnerabilidad y la exposición que puedan tener dentro de un exchange o portal de resguardo.
