Выходные атаки: фронтенды Cointelegraph и CoinMarketCap скомпрометированы мошенническими ссылками

Cointelegraph, одна из ведущих криптомедиаплатформ, подтвердила взлом фронтенда, в результате которого пользователи столкнулись с вредоносным всплывающим окном, призывающим подключить их кошельки.

Инцидент, произошедший 22 июня, был связан с мошенниками, продвигавшими фейковый токен Cointelegraph (CTG) и поддельную кампанию первичного предложения монет (ICO).

Блокчейн-платформа безопасности Scam Sniffer первой обнаружила компрометацию, отметив, что злоумышленники пытались обманом заставить пользователей предоставить доступ к своим кошелькам. После подключения активы в этих кошельках могли быть похищены.

Scam Sniffer отследила эксплойт до JavaScript-кода, внедренного через рекламную инфраструктуру сайта. Код, по-видимому, происходил из домена, похожего на AdButler, который был недавно зарегистрирован и содержал вредоносный скрипт, скрытый в баннерной рекламе.

В публичном заявлении Cointelegraph признала проблему и предупредила пользователей не взаимодействовать с всплывающими окнами, рекламирующими «токены CTG» или «айрдропы CoinTelegraph ICO».

Платформа подчеркнула, что активно расследует инцидент и работает над удалением вредоносного кода. Пользователям рекомендовали не вводить личные данные и не подключать кошельки к любым предложениям на сайте.

CoinMarketCap столкнулся с аналогичными атаками

Этот инцидент произошел всего через два дня после аналогичной атаки на CoinMarketCap.

20 июня у провайдера криптоданных временно был взломан фронтенд, что привело к появлению фейкового запроса кошелька на главной странице.

CoinMarketCap связал уязвимость с изображением doodle, содержавшим ссылку на неавторизованный JavaScript, который ненадолго нарушил интерфейс сайта. Компания заявила:

«Наша команда безопасности обнаружила уязвимость, связанную с изображением doodle, отображаемым на главной странице. Это изображение содержало LINK, который активировал вредоносный код через API-вызов, что привело к неожиданному всплывающему окну для некоторых пользователей при посещении главной страницы.»

Хотя сообщения на каждом сайте отличались, оба случая использовали почти идентичный механизм доставки: обманчивое всплывающее окно, замаскированное под функцию платформы. Это может указывать на скоординированную кампанию по атаке высоконагруженных криптовалютных сайтов с использованием JavaScript-эксплойтов в рекламе.

Эксперты по безопасности отметили, что двойные взломы подчеркивают растущую тенденцию использования злоумышленниками доверенных платформ для осуществления схем по опустошению кошельков. В связи с этим они призвали пользователей криптовалют сохранять бдительность, избегать взаимодействия с неизвестными dApps и регулярно отслеживать активность кошельков.

Перевод: BlockChain99