На фоне криптовалютного бума преступники придумывают всё новые способы, чтобы завладеть чужими цифровыми активами. Один из них — использование так называемых веб-инъекций для перехвата и изменения трафика между браузером пользователя и криптовалютным веб-ресурсом.
Независимая исследовательская компания SecurityScorecard заявила, что веб-инъекции угрожают пользователям сервиса Coinbase и веб-кошелька Blockchain.
Веб-инъекция — это, как правило, внедрённый в веб-страницу кусок кода с вредоносным содержанием. Веб-инъекции могут использоваться для добавления или удаления контента на странице, которую видит жертва. Например, она может добавлять поля на экране входа в систему с целью захвата пароля. Веб-инъекции используются для кражи учётных данных или для доступа к банковским счетам, но в последнее время их стали активно применять и для кражи криптовалют.
По словам Доины Косован, специалиста по вредоносным программам в SecurityScorecard, владельцы ботнетов покупают веб-инъекции для Coinbase и Blockchain.info и распространяют их среди заражённых компьютеров. Эти веб-инъекции могут использоваться различными типами вредоносных программ. Косован говорит:
Мы заметили, что это, в частности, Zeus и Ramnit, но это просто примеры, которые нам встретились. Любой владелец ботнета с вредоносным программным обеспечением, способным добавлять код на сайты, может купить и использовать эти инъекции.
Веб-инъекция для Coinbase, обнаруженная SecurityScorecard, предназначена для изменения настроек учётной записи жертвы, чтобы включить передачу цифровых монет без необходимости подтверждения со стороны пользователя. Когда пользователь пытается войти в свою учётную запись Coinbase, добавленный злоумышленниками JavaScript сначала отключает на клавиатуре кнопку «Enter» для полей электронной почты и пароля, чтобы пользователю пришлось нажать кнопку «Отправить» на сайте.
Он также создаёт кнопку, которая имеет те же атрибуты, что и оригинальная. Она вставляется поверх оригинальной кнопки входа, чтобы жертва нажала на неё. Конечная цель — захват мультифакторной аутентификационной информации. Впоследствии она будет использована для изменения настроек учётной записи, чтобы дальнейшие транзакции могли выполняться без одобрения пользователя. Косован говорит:
Как только это изменение будет сделано, внедрённая программа может начать совершать транзакции без необходимости их подтверждения через двухфакторную аутентификацию. Более того, пользовательский доступ к настройкам блокируется, поэтому уже нельзя включить двухфакторную аутентификацию для транзакций.
Веб-инъекции на Blockchain.info работают похожим образом и предназначены для кражи средств из кошелька. Помимо прочего веб-инъекция показывает уведомление «Service Unavailable», не давая пользователю обнаружить кражу.
