Un grupo de ‘hackers’ ha atacado las transacciones de criptomonedas realizadas a través de la plataforma Gate.io mediante un ‘script’ Java malicioso incorporado desde la herramienta StatCounter para el análisis del tráfico web, con lo que han conseguido robar criptomonedas al sustituir la dirección de Bitcoins de destino en las transacciones por otra que pertenecía a los atacantes.
El ataque se produjo cuando los ciberdelincuentes vulneraron StatCounter, momento en el que Gate.io dejó de utilizar los servicios analíticos de StatCounter.
El ‘hackeo’ en cuestión consistía en introducir una etiqueta externa de código JavaScrpit dentro de un fragmento de código presente en StatCounter, lo cual permitía que los atacantes pudieran inyectar ese mismo código malicioso en los sitios web que utilizan los servicios de StatCounter, según publica la agencia de seguridad eslovaca ESET, descubridora del ataque.
El objetivo de los delincuentes era la plataforma de intercambio de criptodivisas Gate.io, por lo que una vez infectado StatCounter, la pieza de código añadida se encargaba de verificar si la dirección URL de las webs que utilizaban la herramienta de análisis contenía el fragmento ‘myaccount/withdraw/BTC’.
Todas las direcciones que pasaban la confirmación remitían usuarios que realizaban transacciones en Gate.io, pues el Identificador Uniforme de Recursos (URI) añadido como fragmento solo se encontraba presente dentro de esta plataforma.
Una vez hallada la dirección web, los ‘hackers’ agregaban el código malicioso a la página, que de forma automática reemplazaba la dirección Bitcoin de destino de las transacciones por otra dirección que pertenecía a los atacantes. La agencia de ciberseguridad recoge que el servidor malicioso generaba una nueva dirección Bitcoin cada vez que un usuario cargaba el ‘script’ malicioso.
El proceso de robo finalizaba cuando el código ejecutaba la transferencia desde la dirección de Bitcoin de la victima con destino a la billetera ubicada en la cuenta de los atacantes. La agencia de seguridad considera que la redirección «es probablemente imperceptible para las víctimas», ya que sucedía de forma muy rápida y después de que el usuario hiciera clic en ‘enviar’ para mover las divisas.