Udnyttelse af Google Tag Manager
Nylige rapporter har afsløret en foruroligende tendens, hvor cyberkriminelle udnytter Google Tag Manager (GTM) til at implementere kreditkortskimmer-malware på Magento-baserede e-handelswebsteder. GTM, som typisk bruges til webstedsanalyse og annoncering, er blevet manipuleret for at give angribere vedvarende adgang. Malwaren, skjult i et tilsyneladende normalt GTM- og Google Analytics-script, er designet til at stjæle følsomme brugerdata.
Indholdsfortegnelse
Afmaskering af den korrupte kode
Efter undersøgelser opdagede sikkerhedseksperter, at det kompromitterede GTM-tag indeholder en sløret bagdør. Denne bagdør giver angribere mulighed for at opretholde langsigtet adgang til inficerede websteder. De første fund viste, at seks steder var inficeret med den samme GTM-identifikation (GTM-MLHK2N68), selvom dette antal siden er faldet til tre. GTM-id'en, i det væsentlige en beholder til forskellige sporingskoder og udløserregler, viste sig at omfatte en kodet JavaScript-nyttelast, der fungerer som en kreditkortskimmer.
Malwares luskede funktionalitet
Malwaren udføres fra tabellen 'cms_block.content' i Magento-databasen. Når den først er aktiveret, målretter den mod betalingssiderne på berørte e-handelswebsteder og indsamler følsomme kundeoplysninger såsom kreditkortoplysninger. De stjålne data sendes derefter til en ekstern server, der kontrolleres af angriberne, hvilket effektivt omgår traditionelle sikkerhedsforanstaltninger.
En historie om GTM-misbrug
Det er ikke første gang, Google Tag Manager er blevet kapret til ondsindede formål. Tilbage i april 2018 blev GTM misbrugt i en malvertising-kampagne, der havde til formål at generere indtjening gennem pop-ups og omdirigeringer. Dette nylige misbrug fremhæver de fortsatte risici forbundet med cyberkriminelle, der udnytter populære webadministrationsværktøjer.
Retlige handlinger og konsekvenser for cyberkriminelle
I forbindelse med den bredere tendens til skimming af betalingskort har det amerikanske justitsministerium (DoJ) sigtet to rumænske statsborgere - Andrei Fagaras og Tamas Kolozsvari. De står over for flere tilfælde af svindel med adgangsenheder relateret til en udbredt skimming-operation i det østlige distrikt i Louisiana. Hvis de bliver dømt, kan de mistænkte risikere op til 15 års fængsel, store bøder og betydelige overvågede løsladelsesbetingelser.
Dette seneste brud understreger vigtigheden af at sikre e-handelsplatforme og omhyggeligt overvåge værktøjerne integreret i websteder for at forhindre misbrug.
