StatCounter Analytics Code Hijacked to Steal Bitcoins from Cryptocurrency Users

지난 주, 알려지지 않은 해커들이 비트코인이 사용하고 있는 웹 분석 서비스를 해킹해 코인을 훔치려 시도했습니다.

ESET의 악성코드 연구원인 Matthieu Faou는 지난 주말 웹사이트 약 70만 곳에서 웹 분석 플랫폼인 StatCounter의 트래픽 트래킹 코드와 함께 묶인 악성 자바스크립트 코드를 발견했습니다.

연구코드 분석 결과, 연구원들은 해커가 StatCounter를 해킹하고 성공적으로 트래킹 스크립트를 악성 자바스크립트로 바꿔치기했다는 사실을 발견했습니다. 이 악성 자바스크립트 코드는 Gate.io 가상화폐 교환소의 고객을 공격하도록 설계 되었습니다.

StatCounter는 Google Analytics와 마찬가지로 오래 되었지만 널리 사용 되는 실시간 웹 분석 플랫폼입니다. 이는 약 2백만개 이상의 웹사이트에서 사용 되고 있으며 한달에 100억 페이지 뷰 이상의 통계를 생성한느 것으로 알려졌습니다.

해커들이 가상화폐 거래소를 통해 비트코인을 훔치려 시도한 방법

<이미지 출처 : https://thehackernews.com/2018/11/statcounter-cryptocurrency-cyberattack.html >

악성 코드는 StatCounter 서비스를 사용하는 수십만 개의 웹사이트에 삽입 되었습니다. 하지만 이 스크립트는 웹사이트의 URL이나 컨텐츠가 myaccount/withdraw/BTC URI를 포함하고 있을 때만 활성화 됩니다.

이 “myaccount/withdraw/BTC” URI는 비트코인 출금 및 전송이 가능한 gate.io 웹페이지와 연결 되어 있습니다.

악성 스크립트는 코인을 전송할 대상 비트코인 주소를 해커의 주소로 변경하기 위한 것입니다.

“이 스크립트는 자동으로 대상 비트코인 주소를 공격자의 주소 (예: 1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad) 등으로 변경합니다.”

“악성 서버는 방문자가 statconuter[.]com/c.php 스크립트를 로드할 때 마다 매번 새로운 비트코인 주소를 생성했습니다. 따라서 얼마나 많은 비트코인이 공격자들에게 전송 되었는지 알아내기는 힘듭니다.”

“피해자에게 악성 스크립트가 전송 될 때 마다 새로운 비트코인 주소가 만들어지기 때문에, 공격자가 얼마나 많은 비트코인을 모았는지는 확인할 수 없었습니다.”

<이미지 출처 : https://thehackernews.com/2018/11/statcounter-cryptocurrency-cyberattack.html >

연구원에 따르면 악성 스크립트는 정식 StatCounter의 자바스크립트의 중간 부분에 삽입 되어 악성 코드를 탐지해내기 어려웠던 것으로 나타났습니다.

Gate.io, 보안 사고 이후 StatCounter 제거해

공격자들은 11월 3일 성공적으로 StatCounter를 해킹했으며, ESET은 11월 5일 해킹을 발견해 이를 회사에 제보했습니다. 타겟이 사용한 서비스에서 악성 스크립트가 발견 되었기 때문에, ESET은 이를 “공급망 공격”으로 분류했습니다.

“이 공격에서 얼마나 많은 비트코인이 도난 당했는지는 알 수 없었지만, 특정 웹사이트 하나를 노린 공격이 얼마나 멀리 뻗어나갈 수 있는지를 보여준 사건이라 할 수 있겠습니다.”

11월 6일, Gate.io 가상화폐 교환소 플랫폼이 이 분석 서비스의 사용을 중지하기 몇시간 전에 StatCounter는 이 악성코드를 삭제했습니다.

Gate.io는 “사용자의 코인은 안전하다”고 밝혔습니다. 하지만 11월 3일~6일 사이에 얼마나 많은 고객들이 코인을 잃었는지 밝히지 않았으며, 이 사용자들에게 보상을 약속하지도 않았습니다.

Gate.io는 사용자들에게 이중인증 및 2단계 로그인 보안을 활성화 하여 계좌를 보호할 것을 권장했습니다.

출처 :

https://thehackernews.com/2018/11/statcounter-cryptocurrency-cyberattack.html

Leave a Reply

Your email address will not be published. Required fields are marked *