Експлойт на Google Tag Manager
Скорошни доклади разкриха смущаваща тенденция, при която киберпрестъпниците експлоатират Google Tag Manager (GTM), за да разположат злонамерен софтуер за скимер на кредитни карти в уебсайтове за електронна търговия, базирани на Magento. GTM, който обикновено се използва за анализ на уебсайтове и реклама, е бил манипулиран, за да осигури постоянен достъп за нападателите. Зловреден софтуер, скрит в привидно нормален GTM и скрипт на Google Analytics, е предназначен да краде чувствителни потребителски данни.
Съдържание
Демаскиране на повредения код
След разследване експертите по сигурността откриха, че компрометираният маркер на GTM съдържа скрита задна врата. Тази задна врата позволява на нападателите да поддържат дългосрочен достъп до заразени уебсайтове. Първоначалните констатации показаха, че шест сайта са заразени с един и същ GTM идентификатор (GTM-MLHK2N68), въпреки че този брой оттогава е спаднал до три. Установено е, че GTM идентификаторът, по същество контейнер за различни кодове за проследяване и правила за задействане, включва кодиран JavaScript полезен товар, действащ като скимер на кредитна карта.
Подлата функционалност на зловредния софтуер
Зловреден софтуер се изпълнява от таблицата „cms_block.content“ в базата данни на Magento. След като бъде активиран, той се насочва към страниците за плащане на засегнатите сайтове за електронна търговия, като събира чувствителна информация за клиентите, като например данни за кредитни карти. След това откраднатите данни се изпращат до външен сървър, контролиран от нападателите, ефективно заобикаляйки традиционните мерки за сигурност.
История на злоупотреба с GTM
Това не е първият път, когато Google Tag Manager е отвлечен за злонамерени цели. През април 2018 г. GTM беше злоупотребен в кампания за злонамерена реклама, която имаше за цел да генерира приходи чрез изскачащи прозорци и пренасочвания. Тази скорошна злоупотреба подчертава продължаващите рискове, свързани с киберпрестъпниците, експлоатиращи популярни инструменти за уеб управление.
Правни действия и последствия за киберпрестъпниците
Във връзка с по-широката тенденция на скимиране на разплащателни карти, Министерството на правосъдието на САЩ (DoJ) повдигна обвинения на двама румънски граждани – Андрей Фагараш и Тамаш Колозвари. Те са изправени пред множество обвинения за измами с устройства за достъп, свързани с широко разпространена операция за скимиране в Източния окръг на Луизиана. Ако бъдат признати за виновни, заподозрените могат да получат до 15 години затвор, солидни глоби и значителни срокове на освобождаване под наблюдение.
Това последно нарушение подчертава важността на защитата на платформите за електронна търговия и внимателното наблюдение на инструментите, интегрирани в уебсайтовете, за предотвратяване на злоупотреби.
