Angriffsmeldung: Kryptobörse Gate.io entfernt StatCounter von Webseite

Die Kryptobörse Gate.io hat das Webanalysetool StatCounter von ihrer Webseite entfernt, nachdem ein die Cybersicherheitsfirma ESET einen Angriff gemeldet hat. Das geht aus einem offiziellen Blogbeitrag vom 7. November hervor.

Das Unternehmen berichtete, dass es den Besucherstatistikdienst von StatCounter sofort entfernt hat, nachdem es von ESET eine Sicherheitsmeldung über ein verdächtiges Verhalten erhalten hatte. Gate.io behauptete, die Webseite anschließend mit 56 Antivirenprodukten gescannt zu haben. Es hieß: "Niemand hat zu diesem Zeitpunkt ein verdächtiges Verhalten gemeldet". Das Unternehmen wählte jedoch trotzdem den Besucherzähler und meldete auch, dass die Gelder der Benutzer sicher seien.

Am 6. November veröffentlichte das slowakische Cybersicherheitsunternehmen ESET einen Sicherheitsbericht, in dem es hieß, dass Hacker das große Webanalysetool StatCounter angegriffen hätten. Dieser Angriff richtete sich an Bitcoin (BTC)-Börsen, die den Besucher-Analysedienst nutzen. Laut dem ESET-Forscher Matthieu Faou haben die Angreifer die StatCounter-Plattform kompromittiert, die von mehr als zwei Millionen anderen Webseiten genutzt werden soll. Dabei wurde mutmaßlich der JavaScript (JS)-Code auf jeder Seite der Webseite geändert.

Den Hackern gelang es, den bösartigen Code "myaccount/withdraw/BTC" einzuschleusen, der die Zieladresse bei einer Bitcoin-Übertragung durch Kryptobörsennutzer mit einer Adresse der Angreifer ersetzen sollte.

Geändertes Skript auf www.statcounter.com/counter/counter.js. Quelle: WeLiveSecurity

Laut Faou, der Berichten zufolge den "Lieferkettenangriff" als erster entdeckt haben soll, war der einheitliche Ressourcenidentifikator (Uniform Resource Identifier oder URI) "myaccount/withdraw/BTC" ausschließlich an die Kryptobörse Gate.io gerichtet, die mutmaßlich "das Hauptziel dieses Angriffs" gewesen ist.

Die Börse liegt bei Redaktionsschluss aktuell auf Platz 38 unter den Krypto-Handelsplattformen nach täglichem Handelsvolumen. Sie ist in China mit 9.382 Besuchern im Land sehr beliebt. Global kommt sie auf 33.365 Besucher, wie aus Daten des Besucherdaten- und Analysetools SimilarWeb hervorgeht.

Den Bericht schließt der ESET-Forscher mit den Worten, dass der kürzliche Angriff erneut beweist: Ein externer "JavaScript-Code wird von einem Dritten kontrolliert und kann jederzeit und ohne Vorankündigung geändert werden".

Wie Cointelegraph Anfang des Jahres berichtete, war JavaScript eines der wichtigsten Werkzeuge von Hackern bei der Durchführung von Cryptojacking. Der Analyse zufolge seien JS-basierte Browser-Add-ons und -Erweiterungen "extrem anfällig für Hackangriffe" und würden häufig für verstecktes Mining verwendet. Dabei werden die Computerressourcen der Benutzer missbraucht. Forscher haben Mitte Oktober beispielsweise eine Krypto-Mining-Schadsoftware entdeckt, die sich als gefälschtes Adobe Flash-Update tarnt.