Statcounter är ett mycket populärt statistikverktyg för webbplatser som främst används för att mäta trafiken till webbsidor. Statcounter är gratis och aktiveras genom att ett javascript placeras i html-koden för webbsidan. Över två miljoner sajter använder Statcounter.

Forskare på it-säkerhetsföretaget Eset har upptäckt ett falskt javascript med en specifik måltavla - en handelsplats för kryptovalutor. Javascriptet heter statcounter.com/counter/counter.js och angriparna har lyckats inkludera sin egna bit kod i detta javascript och placerat det på Statcounters webbsajt för nedladdning. Det kan hända att miljontals användare av Statcounter har laddat ned och installerat scriptet på sina webbsajter, skriver The Register.

Attacken riktar sig mot handelsplatsen Gate.io och kräver alltså att Gate.ios sajt-administratörer har placerat javascriptet i sin kod. Det märkliga i sammanhanget är att utvecklarna av det falska javascriptet gått så lång för att attackera en så speciell och specifik sajt.

Javascriptet letar efter transaktioner med bitcoins och försöker ta över transaktionerna och peka om dem till angriparnas egna digitala plånböcker. Javascriptet söker efter en specifik sökväg "myaccount/withdraw/BTC”. Det visar sig att av alla krypto-handelsplatser är det endast Gate.io som använder just den URI:n.

Den falska koden i javascriptet.
Foto: The RegisterDen falska koden i javascriptet.

– Även om vi inte vet hur mycket kryptovaluta som stulits visar attacken hur långt angriparna är beredda att gå för att attackera en specifik sajt, i dett fall en handelsplats för kryptovaluta. För att lyckas med sitt tilltag har angriparna hackat webbsidan hos ett webbanalysföretag [Statcounter reds. anm.] vars verktyg används av mer än två miljoner sajter, inklusive flera myndighetssajter, för att kunna stjäla bitcoins från kunderna på en enda specifik handelssajt, säger Matthieu Faou, forskare på Eset och en av författarna av rapporten.

Även om attacken riktar sig mot just Gate.io visar hacket hur andra sajter skulle kunna angripas; det är bara att ändra i javascriptet. Detta visar ju också att angriparna kan komma åt Statcounters sajt och lägga in skript som sedan kunderna installerar på sina sajter.

Kolla koden i ditt javascript om du använder Statcounter; sök efter strängen "myaccount/withdraw/BTC”. Hittar du den har du det falska skriptet.

Läs också:
Här säljs pass, id-kort, bankkonton, kändisskap och lajks – så mycket kostar det
Sårbarhet i Wordpress – hackare kan ta över hela webbshoppen