Cybercrime

Supply-chain Attack โจมตีเว็บไซต์แลกเปลี่ยนสกุลเงินออนไลน์

เว็บไซต์และเปลี่ยนสกุลเงินออนไลน์ถูกแฮกเกอร์เปลี่ยนสคริปต์เปลี่ยนบัญชีที่จะโอนเป็นของแฮกเกอร์

งานวิจัยล่าสุดแสดงให้เห็นวิธีที่แฮกเกอร์ขโมยเงิน Bitcoin จากผู้ใช้เว็บไซต์แลกเปลี่ยนสกุลเงินออนไลน์

วันที่ 3 พฤศจิกายน 2018 แฮกเกอร์แทรกซึมเข้าสู่ระบบ StatCounter เว็บไซต์แพลตฟอร์ม Analytics ที่ถูกใช้โดยนักพัฒนาเว็บไซต์จำนวนมาก เพื่อเข้ามารวบรวมข้อมูลพฤติกรรมผู้เข้าชมเว็บไซต์ คล้ายๆบริการของ Google Analytics เพื่อที่จะทำอย่างนั้นผู้พัฒนาเว็บจะต้อง ใส่โค้ด JavaScript ในเว็บเพจ ซึ่งแฮกเกอร์ใส่โค้ดของตัวเองลงในโค้ดของ StatCounter อีกที

StatCounter มีสมาชิกมากกว่า 2 ล้านเว็บไซต์และมีหน้าเว็บเพจมากกว่า 10,000 ล้านเพจทุกเดือน ติดอันดับหนึ่งใน 5,000 ของ Alexa

โดยแฮกเกอร์แปลงสคริปต์ http://www.statcounter[.]com/counter/counter.js และแทนที่มันด้วยโค้ดอันตราย ในส่วนตรงกลาง ซึ่งปกติแฮกเกอร์จะใส่โค้ดไม่ในช่วงต้นก็ท้ายของไฟล์ แต่การทำแบบนี้ก็จะทำให้การตรวจสอบนั้นทำได้ยากขึ้นเช่นกัน

แฮกเกอร์สมัครโดเมนขึ้นมาใช้ชื่อ http://www.statconuter[.]com ซึ่งใกล้เคียงกับ StatCounter มาก ทำให้ยากต่อการตรวจสอบ

จากข้อมูลจากเว็บไซต์ coinmarketcap.com การซื้อขายมีต่อวันมีมูลค่าหลายล้านดอลล่าร์ แค่ Bitcoin อย่างเดียวก็มากกว่า 1.6 ล้านเหรียญ ซึ่งแฮกเกอร์ก็สามารถเข้ามาหากินในแพลตฟอร์มนี้ได้

เว็บไซต์ https://www.gate%5B.%5Dio/myaccount/withdraw/BTC แสดงการซื้อขาย Bitcoin จาก gate.io ไปยังที่อยู่อื่น

ซึ่งแฮกเกอร์ใช้สคริปต์เปลี่ยนเส้นทางไปยังบัญชี Bitcoin ของแฮกเกอร์ ซึ่งเหยื่อจะไม่สามารถรู้ได้เลย ซึ่งเกิดขึ้นหลังจากคลิกปุ่ม Submit และเกิดขึ้นเร็วมาก

เราเฝ้าสังเกตการณ์ทั้ง StatCounter และ gate.io หากพบกิจกรรมอันตรายจะรีบแจ้งให้ทราบทันที

URLs อันตราย

  • statcounter[.]com/counter/counter.js
  • statconuter[.]com/c.php

Author: Matthieu Faou
Source:
https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/
Translated by: Worapon H.

%d bloggers like this: