งานวิจัยล่าสุดแสดงให้เห็นวิธีที่แฮกเกอร์ขโมยเงิน Bitcoin จากผู้ใช้เว็บไซต์แลกเปลี่ยนสกุลเงินออนไลน์
วันที่ 3 พฤศจิกายน 2018 แฮกเกอร์แทรกซึมเข้าสู่ระบบ StatCounter เว็บไซต์แพลตฟอร์ม Analytics ที่ถูกใช้โดยนักพัฒนาเว็บไซต์จำนวนมาก เพื่อเข้ามารวบรวมข้อมูลพฤติกรรมผู้เข้าชมเว็บไซต์ คล้ายๆบริการของ Google Analytics เพื่อที่จะทำอย่างนั้นผู้พัฒนาเว็บจะต้อง ใส่โค้ด JavaScript ในเว็บเพจ ซึ่งแฮกเกอร์ใส่โค้ดของตัวเองลงในโค้ดของ StatCounter อีกที
StatCounter มีสมาชิกมากกว่า 2 ล้านเว็บไซต์และมีหน้าเว็บเพจมากกว่า 10,000 ล้านเพจทุกเดือน ติดอันดับหนึ่งใน 5,000 ของ Alexa
โดยแฮกเกอร์แปลงสคริปต์ http://www.statcounter[.]com/counter/counter.js และแทนที่มันด้วยโค้ดอันตราย ในส่วนตรงกลาง ซึ่งปกติแฮกเกอร์จะใส่โค้ดไม่ในช่วงต้นก็ท้ายของไฟล์ แต่การทำแบบนี้ก็จะทำให้การตรวจสอบนั้นทำได้ยากขึ้นเช่นกัน
แฮกเกอร์สมัครโดเมนขึ้นมาใช้ชื่อ http://www.statconuter[.]com ซึ่งใกล้เคียงกับ StatCounter มาก ทำให้ยากต่อการตรวจสอบ
จากข้อมูลจากเว็บไซต์ coinmarketcap.com การซื้อขายมีต่อวันมีมูลค่าหลายล้านดอลล่าร์ แค่ Bitcoin อย่างเดียวก็มากกว่า 1.6 ล้านเหรียญ ซึ่งแฮกเกอร์ก็สามารถเข้ามาหากินในแพลตฟอร์มนี้ได้
เว็บไซต์ https://www.gate%5B.%5Dio/myaccount/withdraw/BTC แสดงการซื้อขาย Bitcoin จาก gate.io ไปยังที่อยู่อื่น
ซึ่งแฮกเกอร์ใช้สคริปต์เปลี่ยนเส้นทางไปยังบัญชี Bitcoin ของแฮกเกอร์ ซึ่งเหยื่อจะไม่สามารถรู้ได้เลย ซึ่งเกิดขึ้นหลังจากคลิกปุ่ม Submit และเกิดขึ้นเร็วมาก
เราเฝ้าสังเกตการณ์ทั้ง StatCounter และ gate.io หากพบกิจกรรมอันตรายจะรีบแจ้งให้ทราบทันที
URLs อันตราย
- statcounter[.]com/counter/counter.js
- statconuter[.]com/c.php
Author: Matthieu Faou
Source: https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
งานวิจัยล่าสุดแสดงให้เห็นวิธีที่แฮกเกอร์ขโมยเงิน Bitcoin จากผู้ใช้เว็บไซต์แลกเปลี่ยนสกุลเงินออนไลน์
วันที่ 3 พฤศจิกายน 2018 แฮกเกอร์แทรกซึมเข้าสู่ระบบ StatCounter เว็บไซต์แพลตฟอร์ม Analytics ที่ถูกใช้โดยนักพัฒนาเว็บไซต์จำนวนมาก เพื่อเข้ามารวบรวมข้อมูลพฤติกรรมผู้เข้าชมเว็บไซต์ คล้ายๆบริการของ Google Analytics เพื่อที่จะทำอย่างนั้นผู้พัฒนาเว็บจะต้อง ใส่โค้ด JavaScript ในเว็บเพจ ซึ่งแฮกเกอร์ใส่โค้ดของตัวเองลงในโค้ดของ StatCounter อีกที
StatCounter มีสมาชิกมากกว่า 2 ล้านเว็บไซต์และมีหน้าเว็บเพจมากกว่า 10,000 ล้านเพจทุกเดือน ติดอันดับหนึ่งใน 5,000 ของ Alexa
โดยแฮกเกอร์แปลงสคริปต์ http://www.statcounter[.]com/counter/counter.js และแทนที่มันด้วยโค้ดอันตราย ในส่วนตรงกลาง ซึ่งปกติแฮกเกอร์จะใส่โค้ดไม่ในช่วงต้นก็ท้ายของไฟล์ แต่การทำแบบนี้ก็จะทำให้การตรวจสอบนั้นทำได้ยากขึ้นเช่นกัน
แฮกเกอร์สมัครโดเมนขึ้นมาใช้ชื่อ http://www.statconuter[.]com ซึ่งใกล้เคียงกับ StatCounter มาก ทำให้ยากต่อการตรวจสอบ
จากข้อมูลจากเว็บไซต์ coinmarketcap.com การซื้อขายมีต่อวันมีมูลค่าหลายล้านดอลล่าร์ แค่ Bitcoin อย่างเดียวก็มากกว่า 1.6 ล้านเหรียญ ซึ่งแฮกเกอร์ก็สามารถเข้ามาหากินในแพลตฟอร์มนี้ได้
เว็บไซต์ https://www.gate%5B.%5Dio/myaccount/withdraw/BTC แสดงการซื้อขาย Bitcoin จาก gate.io ไปยังที่อยู่อื่น
ซึ่งแฮกเกอร์ใช้สคริปต์เปลี่ยนเส้นทางไปยังบัญชี Bitcoin ของแฮกเกอร์ ซึ่งเหยื่อจะไม่สามารถรู้ได้เลย ซึ่งเกิดขึ้นหลังจากคลิกปุ่ม Submit และเกิดขึ้นเร็วมาก
เราเฝ้าสังเกตการณ์ทั้ง StatCounter และ gate.io หากพบกิจกรรมอันตรายจะรีบแจ้งให้ทราบทันที
URLs อันตราย
Author: Matthieu Faou
Source: https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: