Atacan el portal de intercambio Gate.io para robar criptomonedas a través de un 'script' malicioso

Bitcoin
PEXELS - Archivo
Actualizado: miércoles, 29 julio 2020 13:03

   MADRID, 8 Nov. (Portaltic/EP) -

   Un grupo de 'hackers' ha atacado las transacciones de criptomonedas realizadas a través de la plataforma Gate.io mediante un 'script' Java malicioso incorporado desde la herramienta StatCounter para el análisis del tráfico web, con lo que han conseguido robar criptomonedas al sustituir la dirección de Bitcoins de destino en las transacciones por otra que pertenecía a los atacantes.

   El ataque se produjo entre el 3 de noviembre, cuando los ciberdelincuentes vulneraron StatCounter, y el 6 de noviembre, momento en el que Gate.io dejó de utilizar los servicios analíticos de StatCounter.

   El 'hackeo' en cuestión consistía en introducir una etiqueta externa de código JavaScript dentro de un fragmento de código presente en StatCounter, lo cual permitía que los atacantes pudieran inyectar ese mismo código malicioso en los sitios web que utilizan los servicios de StatCounter, según publica la agencia de seguridad eslovaca ESET, descubridora del ataque.

   El objetivo de los delincuentes era la plataforma de intercambio de criptodivisas Gate.io, por lo que una vez infectado StatCounter, la pieza de código añadida se encargaba de verificar si la dirección URL de las webs que utilizaban la herramienta de análisis contenía el fragmento 'myaccount/withdraw/BTC'.

   Todas las direcciones que pasaban la confirmación remitían usuarios que realizaban transacciones en Gate.io, pues el Identificador Uniforme de Recursos (URI) añadido como fragmento solo se encontraba presente dentro de esta plataforma.

CAMBIO EN LA DIRECCIÓN 'BITCOIN 'DE LAS TRANSACCIONES

   Una vez hallada la dirección web, los 'hackers' agregaban el código malicioso a la página, que de forma automática reemplazaba la dirección Bitcoin de destino de las transacciones por otra dirección que pertenecía a los atacantes. La agencia de ciberseguridad recoge que el servidor malicioso generaba una nueva dirección Bitcoin cada vez que un usuario cargaba el 'script' malicioso.

   El proceso de robo finalizaba cuando el código ejecutaba la transferencia desde la dirección de Bitcoin de la victima con destino a la billetera ubicada en la cuenta de los atacantes. La agencia de seguridad considera que la redirección "es probablemente imperceptible para las víctimas", ya que sucedía de forma muy rápida y después de que el usuario hiciera clic en 'enviar' para mover las divisas.

   La publicación de ESET indica que, al generarse una nueva dirección para los atacantes cada vez que se produce una transacción, se desconoce cuántos 'bitcoins' han sido robados, aunque sí destaca que más de dos millones de páginas web utilizan el servicio de StatCounter. Además, de acuerdo con el motor de búsqueda PublicWWW, existen alrededor de 690.000 webs con el 'script' malicioso.

    A través de su Twitter oficial, Gate.io informó el 7 de noviembre de que había suprimido el servicio de StatCounter en su página web. Dentro de la plataforma se producen más de 1,6 millones de transacciones de criptodivisas hacia direcciones de 'bitcoin' externas al día, según indica el informe de ESET en alusiones a la web Coinmarketcap.com, encargada de publicar la capitalización de criptomonedas.