{"id":36345,"date":"2018-11-13T00:55:53","date_gmt":"2018-11-12T23:55:53","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=36345"},"modified":"2018-11-13T00:55:53","modified_gmt":"2018-11-12T23:55:53","slug":"attacco-alla-piattaforma-per-lo-scambio-di-criptovaluta-gate-io","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2018\/11\/13\/attacco-alla-piattaforma-per-lo-scambio-di-criptovaluta-gate-io\/","title":{"rendered":"Attacco alla piattaforma per lo scambio di criptovaluta Gate.io"},"content":{"rendered":"

L\u2019ultima ricerca di ESET<\/a> mostra fino a che punto possono spingersi dei criminali per rubare Bitcoin<\/strong> ai clienti di uno specifico servizio di scambio di valuta virtuale.<\/em><\/p>\n

Il 3 novembre, gli hacker hanno violato con successo StatCounter<\/strong>, una delle principali piattaforme di analisi Web. Questo servizio \u00e8 utilizzato da molti webmaster per raccogliere statistiche sui loro visitatori \u2013 un servizio molto simile a Google Analytics<\/strong>. Per fare ci\u00f2, i webmaster di solito aggiungono un tag JavaScript esterno che incorpora una parte di codice da StatCounter \u2013 www.statcounter [.] com \/ counter \/ counter.js \u2013 in ogni pagina Web. Pertanto, compromettendo la piattaforma StatCounter, i criminali possono inserire il codice JavaScript<\/strong> in tutti i siti Web che utilizzano StatCounter.<\/p>\n

Secondo i dati della stessa azienda, StatCounter \u00e8 utilizzato da oltre di 2 milioni di siti e calcola statistiche per oltre 10 miliardi di pagine visitate al mese. Questa informazione \u00e8 in linea con il punteggio riportato da Alexa che \u00e8 di poco superiore a 5000. Per fare un confronto, Alexa<\/strong> assegna al sito ufficiale della distribuzione Debian Linux, debian.org, un rank molto simile.<\/p>\n

I criminali hanno modificato lo script in www.statcounter [.] com \/ contatore \/ counter.js aggiungendo del codice malevolo, identificato come \u201cprettified<\/em>\u201d proprio nel mezzo dello script. Ci\u00f2 \u00e8 inusuale poich\u00e8 solitamente gli hacker lo aggiungono all\u2019inizio o alla fine di un file legittimo. Il codice iniettato nel mezzo di uno script esistente \u00e8 in genere pi\u00f9 difficile da rilevare.<\/p>\n

Lo script \u00e8 compresso con il packer di Dean Edwards, che \u00e8 probabilmente il packer JavaScript pi\u00f9 popolare. Tuttavia, pu\u00f2 essere facilmente decompresso, rendendolo cos\u00ec possibile da eseguire come mostrato di seguito.<\/p>\n

Questa porzione di codice verificher\u00e0 innanzitutto se l\u2019URL contiene myaccount \/ withdraw \/ BTC . Quindi, \u00e8 possibile gi\u00e0 supporre che l\u2019obiettivo dei criminali sia quello di raggiungere una piattaforma Bitcoin. Se il controllo passa, lo script continua ad aggiungere un nuovo elemento script alla pagina Web e a incorporare il codice in https: \/\/www.statconuter [.] com \/ c.php.<\/p>\n

Da notare che gli hacker hanno registrato un dominio molto simile a quello legittimo di StatCounter, statcounter [.] com, semplicemente cambiando due lettere, che possono essere difficili da rilevare quando si controllano i registri alla ricerca di attivit\u00e0 insolite. \u00c8 interessante notare che, controllando il DNS passivo del dominio, questo era gi\u00e0 stato sospeso nel 2010 per abuso.<\/p>\n

Come spiegato sopra, lo script punta a uno specifico indirizzo URL (Uniform Resource Identifier): myaccount \/ withdraw \/ BTC. I ricercatori di ESET hanno inoltre scoperto che tra i diversi servizi di scambio in tempo reale di criptovaluta, attualmente solo gate.io<\/strong> ha una pagina valida con questo URL, pertanto questo servizio di scambio sembra essere l\u2019obiettivo principale dell\u2019attacco. Questa piattaforma \u00e8 piuttosto popolare, considerando che viene classificata da Alexa con un punteggio di 26251.<\/p>\n

Inoltre, secondo coinmarketcap.com ogni giorno su questo servizio transitano diversi milioni di dollari e questo lo rende particolarmente appetibile per i criminali che intendono rubare criptovaluta su larga scala.<\/p>\n

La pagina Web https: \/\/www.gate [.] Io \/ myaccount \/ withdraw \/ viene utilizzata per trasferire Bitcoin da un account gate.io a un indirizzo Bitcoin esterno.<\/p>\n

Non sorprender\u00e0 quindi scoprire che la payload della seconda fase, da statconuter [.] com \/ c.php , \u00e8 stata progettata per rubare Bitcoin. In quest\u2019ottica ha senso iniettare lo script nella pagina Web gate.io Bitcoin transfer.<\/p>\n

Nella vera pagina di gate.io, esiste gi\u00e0 una funzione doSubmit , chiamata quando l\u2019utente fa clic sul pulsante di invio, ma qui in questo attacco gli hacker<\/strong> lo hanno appositamente ridefinito.<\/p>\n

Lo script sostituisce automaticamente l\u2019indirizzo Bitcoin di destinazione con uno appartenente ai criminali, ad esempio 1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad<\/em>. Il server malevolo genera un nuovo indirizzo Bitcoin ogni volta che un visitatore carica lo script statconuter [.] com \/ c.php, ci\u00f2 rende molto difficile capire quanta valuta sia stata effettivamente trasferita sui conti dei malfattori.<\/p>\n

A seconda che la vittima abbia o meno una disponibilit\u00e0 di prelievo superiore ai 10 BTC al giorno, i criminali punteranno a consumarla completamente o raggiungeranno il limite giornaliero. Nell\u2019 account di prova utilizzato da ESET, la soglia di prelievo era impostata in maniera predefinita su 100 BTC. Nell\u2019ultima fase dell\u2019attacco, lo script dannoso carica un modulo che esegue il trasferimento dall\u2019account della vittima al portafoglio dei criminali.<\/p>\n

Tutto il processo di reindirizzamento risulta molto probabilmente impercettibile per le vittime, poich\u00e9 la sostituzione viene eseguita dopo aver fatto clic sul pulsante di invio e il trasferimento accadr\u00e0 molto rapidamente e il processo non verr\u00e0 nemmeno visualizzato.<\/p>\n

La generazione automatica di nuovi indirizzi per il passaggio dei Bitcoin non ha permesso di raccogliere dati sulla quantit\u00e0 di criptovaluta finora raccolta dagli hacker, per esempio controllando l\u2019indirizzo ricevuto sulla macchina di prova utilizzata da ESET, il saldo \u00e8 di 0 BTC.<\/p>\n

 <\/p>\n

Conclusione<\/strong><\/p>\n

Anche se non si conosce l\u2019ammontare dei Bitcoin rubati, questo attacco dimostra quanto impegno i criminali stiano profondendo per colpire gli scambi di criptovaluta. Ad esempio, in questo caso, per raggiungere il loro obiettivo hanno compromesso il sito Web di un servizio di analisi utilizzato da oltre due milioni di altri siti Web, tra cui alcuni legati ad agenzie governative, per rubare Bitcoin dai clienti di un solo sito Web per lo scambio di criptovaluta.<\/p>\n

Dimostra inoltre che un sito Web, anche aggiornato e adeguatamente protetto, rimane comunque vulnerabile al link di una risorsa esterna. Questo ricorda come un codice JavaScript esterno sia sotto il controllo di una terza parte e possa essere modificato in qualsiasi momento senza preavviso.<\/p>\n

Indirizzi URL pericolosi<\/strong><\/p>\n