{"id":211482,"date":"2018-11-07T17:46:41","date_gmt":"2018-11-07T16:46:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211482"},"modified":"2018-11-08T07:01:34","modified_gmt":"2018-11-08T06:01:34","slug":"statcounter-schadcode-in-webseite-hijackt-krypto-brse","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/07\/statcounter-schadcode-in-webseite-hijackt-krypto-brse\/","title":{"rendered":"Statcounter: Schadcode in Webseite hijackt Krypto-B&ouml;rse"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>Da haben ein paar findige K\u00f6pfe '\u00fcber Bande gespielt'. Hacker haben die Website von Statcounter kompromittiert und ein Script zum <del>Sch\u00fcrfen<\/del>Klauen von Krypto-Geld auf der Seite als Tracker hinterlegt. Ziel war es, Benutzer der Krypto-B\u00f6rse <em>Gate.io <\/em>beim Besuch der Seite zu identifizieren und deren Krypto-Geld zu stehlen. Hier einige Informationen zum StatCounter-Hack.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/14c61206a8234b9ca1c05aea9e65667a\" alt=\"\" width=\"1\" height=\"1\" \/>Statcounter ist eine der gr\u00f6\u00dften Webanalyseplattformen im Internet. Ich ziehe deren Daten beispielsweise heran, wenn ich \u00fcber die Versionsverteilung von Desktop-Betriebssystemen berichte (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/06\/windows-verteilung-ende-august-2018\/\">Windows Verteilung Ende August 2018<\/a>). Das Tracker-Script von Statcounter wird auf vielen Unternehmensseiten f\u00fcr Statistikzwecke eingebunden. Auch die Krypto-B\u00f6rse <em>Gate.io <\/em>scheint das wohl so gemacht zu haben. Hackt man den Statcounter-Tracker, bekommt man sofort Zugriff auf die Webseitenbesucher aller Firmen, die diesen Tracker einsetzen.<\/p>\n<h2>ESET entdeckt den Statcounter-Hack<\/h2>\n<p>Entdeckt wurde der Hack von Matthieu Faou, einem Sicherheitsspezialisten bei ESET. Vor einigen Stunden ist der nachfolgende Tweet im offiziellen ESET-Channel auf Twitter gepostet worden.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Attackers breached Statcounter to steal cryptocurrency from <a href=\"https:\/\/t.co\/GyDHxcLzXe\">https:\/\/t.co\/GyDHxcLzXe<\/a>\u00a0 users &#8211; <a href=\"https:\/\/t.co\/tTvY7KaebA\">https:\/\/t.co\/tTvY7KaebA<\/a>\u00a0 &#8211; <a href=\"https:\/\/twitter.com\/gate_io?ref_src=twsrc%5Etfw\">@gate_io<\/a> <a href=\"https:\/\/twitter.com\/matthieu_faou?ref_src=twsrc%5Etfw\">@matthieu_faou<\/a> <a href=\"https:\/\/twitter.com\/ESET?ref_src=twsrc%5Etfw\">@ESET<\/a> <a href=\"https:\/\/t.co\/zceKPDViQh\">pic.twitter.com\/zceKPDViQh<\/a><\/p>\n<p>\u2014 Help Net Security (@helpnetsecurity) <a href=\"https:\/\/twitter.com\/helpnetsecurity\/status\/1060142303774416896?ref_src=twsrc%5Etfw\">7. November 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gem\u00e4\u00df diesem <a href=\"https:\/\/www.helpnetsecurity.com\/2018\/11\/07\/statcounter-gate-io-compromised\/\" target=\"_blank\" rel=\"noopener\">ESET-Blog-Beitrag<\/a> sind sowohl das Webanalyse-Unternehmen Statcounter als auch die Kryptow\u00e4hrungs-B\u00f6rse <em>gate.io <\/em>durch den Hack betroffen. Denn der Hack f\u00fchrte dazu, dass einer unbekannten Anzahl von <em>gate.io<\/em>-Kunden ihr Kryptogeld gestohlen wurde.<\/p>\n<p>Bei Statcounter wurde dazu b\u00f6sartiger Code in das Haupt-Site-Tracking-Skript des Unternehmens eingef\u00fcgt. Laut Matthieu Faou, dem ESET-Malware-Forscher, der den Hack entdeckt hat, f\u00fchrt dieser b\u00f6sartige Code ein Hijacking aller Bitcoin-Transaktionen aus, die \u00fcber die Weboberfl\u00e4che der <em>Gate.io <\/em>Kryptow\u00e4hrungs-B\u00f6rse get\u00e4tigt werden.<\/p>\n<p>ZDnet.com, die in <a href=\"https:\/\/www.zdnet.com\/article\/hackers-breach-statcounter-to-hijack-bitcoin-transactions-on-gate-io-exchange\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ebenfalls berichten, haben von Matthieu Faou erfahren, dass Statcounter auf Anfragen nicht reagiert habe. \"Wir haben uns mit [StatCounter] in Verbindung gesetzt, aber sie haben noch nicht geantwortet\", schriebt Faou in einer E-Mail an ZDNet. Die JavaScript-Datei unter<\/p>\n<p>www[.]statcounter[.] com \/counter\/counter\/counter.js<\/p>\n<p>war zu der Zeit, als der ZDNet-Artikel erschient, immer noch kompromittiert. Inzwischen bekomme ich aber einen Error 404. Die JavaScript-Datei war das zentrale Element zur Erfassung von Statistiken und wurde <a href=\"https:\/\/publicwww.com\/websites\/statcounter.com%2Fcounter%2Fcounter.js\/\" target=\"_blank\" rel=\"noopener\">gem\u00e4\u00df dieser Seite<\/a> von 688.154 eingebunden.<\/p>\n<p>Faou sagt gegen\u00fcber ZDNet, dass der b\u00f6sartige Code erstmals am Wochenende, am Samstag, den 3. November, zu diesem StatCounter-Skript hinzugef\u00fcgt wurde. Das einzige Ziel dieses b\u00f6sartigen Code im Site-Tracking-Skript von StatCounter bestand darin, die Besucher der Webseite <em>Gate.io <\/em>zu identifizieren. Und sobald diese versuchten, Krypto-Geld auf der B\u00f6rse zu handeln, diese Transaktionen abzufangen und das Guthaben umzuleiten. Weitere Details lassen sich bei <a href=\"https:\/\/www.zdnet.com\/article\/hackers-breach-statcounter-to-hijack-bitcoin-transactions-on-gate-io-exchange\/\" target=\"_blank\" rel=\"noopener\">ZDnet<\/a> und im <a href=\"https:\/\/www.helpnetsecurity.com\/2018\/11\/07\/statcounter-gate-io-compromised\/\" target=\"_blank\" rel=\"noopener\">ESET-Blog<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Da haben ein paar findige K\u00f6pfe '\u00fcber Bande gespielt'. Hacker haben die Website von Statcounter kompromittiert und ein Script zum Sch\u00fcrfenKlauen von Krypto-Geld auf der Seite als Tracker hinterlegt. Ziel war es, Benutzer der Krypto-B\u00f6rse Gate.io beim Besuch der Seite &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/11\/07\/statcounter-schadcode-in-webseite-hijackt-krypto-brse\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-211482","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211482","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211482"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211482\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}