Son ESET araştırması, saldırganların herhangi bir kripto para birimi borsası müşterisinden bitcoin çalmak için ne kadar ileri gidebileceğini ortaya koydu.
Saldırganlar 3 Kasım’da lider web analiz platformu StatCounter’a sızmayı başardılar. Google Analytics ile oldukça benzer olan bu servis, birçok web yöneticisi tarafından ziyaretçiler hakkında istatistik toplamak üzere kullanılıyor.
Web yöneticileri genelde bunu gerçekleştirmek için, her bir web sayfasına içerisinde bir parça StatCounter kodu bulunan harici bir JavaScript etiketi (www.statcounter[.]com/counter/counter.js) ekleyerek gerçekleştirirler. Böylece saldırganlar StatCounter platformunu suistimal ederek StatCounter kullanan tüm web sitelerine JavaScript kodu enjekte edebilirler.
Kendi web sitelerinde paylaşılan bilgiye göre, StatCounter’ın 2 milyondan fazla üye sitesi bulunuyor ve her ay 10 milyardan fazla sayfa görüntülemesinin istatistik verileri işleniyor. Bu bilgi, 5000’in biraz yukarısında yer aldığı Alexa sıralamasıyla da uyumludur. Karşılaştırma yapmak gerekirse, Debian Linux dağıtımının resmi web sitesi olan debian.org da benzer bir Alexa sıralamasına sahiptir.
Saldırganlar, www.statcounter[.]com/counter/counter.js adresindeki scripti, scriptin ortasına aşağıda “iyileştirilmiş” şekilde de görülebilen zararlı bir kod ekleyerek değiştirmişler. Bu alışılmadık bir yöntemdir; çünkü saldırganlar genelde meşru bir dosyaya zararlı kodu ya başından ya da sonundan eklerler. Mevcut bir scriptin ortasına eklenen kodu sıradan gözlem yöntemleriyle tespit etmek oldukça zordur.
