Hackers misbruikten StatCounter en infecteerden bijna 700.000 websites

Hackers die het voorzien hebben op cryptovaluta, hebben een van de meest gebruikte diensten voor traffic analytics gehackt. Ze misbruiken StatCounter in een poging bitcoin te stelen van de gebruikers van online beurs Gate.io. Meer dan 688.000 websites zijn door de aanval getroffen.

Dat meldt de site ZDNet vandaag. Er zouden zo’n 688.000 websites zijn aangetroffen die het malwarescript downloaden. StatCounter werkt een beetje als Google Analytics en biedt de gebruiker een uitgebreide analyse van het internetverkeer.

Miljoen sites

Webmasters moeten speciale StatCounter-code aan hun site toevoegen om de statistieken te krijgen. Dat designaspect lijkt misbruikt te zijn door de hackers, waarmee hun malware snel wijdverspreid raakte. De aanval leidde de bitcoin van handelaren in cryptovaluta om. Voornamelijk gebruikers van Gate.io die hun bitcoin opnamen of overboekten werden getroffen. De code verving simpelweg elk bitcoin-adres dat op een pagina kwam te staan met een adres van de hackers.

Veiligheidsonderzoekers van ESET ontdekten de exploit en noemden het een supply-chain aanval. Volgens de onderzoekers waren bijna een miljoen websites getroffen. Maar de bedreiging lijkt slechts gericht op één domein: Gate.io. Dat verwerkt dagelijks zo’n 1,7 miljoen dollar aan transacties met bitcoin. Volgens ESET doet de malware in principe niets, tenzij de link deze specifieke string bevat: “myaccount/withdraw/BTC”. De site Gate.io is de enige site met een URL die zo’n string bevat.

Ondanks dat het veiligheidslek enkele dagen duurde, is het niet zeker hoeveel mensen door de aanval getroffen zijn. Ook is niet zeker hoeveel geld de hackers buitgemaakt hebben. ESET stelt dat het script automatisch elke keer als het draaide een nieuw bitcoin-adres genereerde. Daarmee is het lastig bitcoin-transacties te traceren, en de identiteit van de hackers bijna niet te achterhalen.

Gate.io zal StatCounter volledig van zijn site halen. Het raadt gebruikers aan om tweetrapsverficitaite en tweetraps inlogbescherming in te schakelen.