Google Tag Manager Exploit
Viimeaikaiset raportit ovat paljastaneet huolestuttavan suuntauksen, jossa verkkorikolliset käyttävät Google Tag Manageria (GTM) käyttöön luottokorttien keruuhaittaohjelmia Magento-pohjaisilla verkkokauppasivustoilla. GTM, jota käytetään tyypillisesti verkkosivustojen analytiikkaan ja mainontaan, on manipuloitu tarjoamaan hyökkääjille jatkuvan pääsyn. Haittaohjelma, joka on piilotettu näennäisesti normaaliin GTM- ja Google Analytics -skriptiin, on suunniteltu varastamaan arkaluonteisia käyttäjätietoja.
Sisällysluettelo
Korruptoituneen koodin paljastaminen
Tutkinnan jälkeen tietoturvaasiantuntijat havaitsivat, että vaarantunut GTM-tunniste sisältää hämärän takaoven. Tämän takaoven avulla hyökkääjät voivat säilyttää pitkäaikaisen pääsyn tartunnan saaneille verkkosivustoille. Alkuperäiset havainnot osoittivat kuuden sivuston infektoituneen samalla GTM-tunnisteella (GTM-MLHK2N68), vaikka määrä on sittemmin pudonnut kolmeen. GTM-tunnisteen, joka on pääasiassa erilaisten seurantakoodien ja trigger-sääntöjen säilö, havaittiin sisältävän koodatun JavaScript-hyötykuorman, joka toimii luottokorttien kerääjänä.
Haittaohjelman harhaanjohtava toiminto
Haittaohjelma suoritetaan Magento-tietokannan cms_block.content-taulukosta. Kun se on aktivoitu, se kohdistaa asianomaisten verkkokauppasivustojen kassasivuille ja kerää arkaluontoisia asiakastietoja, kuten luottokorttitietoja. Varastetut tiedot lähetetään sitten hyökkääjien hallitsemalle ulkoiselle palvelimelle ohittaen tehokkaasti perinteiset turvatoimet.
GTM:n väärinkäytön historia
Tämä ei ole ensimmäinen kerta, kun Google Tag Manager on kaapattu haitallisiin tarkoituksiin. Huhtikuussa 2018 GTM:ää käytettiin väärin haitallisessa kampanjassa, jonka tarkoituksena oli tuottaa tuloja ponnahdusikkunoiden ja uudelleenohjausten avulla. Tämä viimeaikainen väärinkäyttö korostaa jatkuvia riskejä, jotka liittyvät verkkorikollisiin, jotka käyttävät hyväkseen suosittuja verkkohallintatyökaluja.
Oikeustoimet ja seuraukset kyberrikollisille
Yhdysvaltain oikeusministeriö (DoJ) on laskuttanut maksukorttien yleistymisen vuoksi kahdelta Romanian kansalaiselta – Andrei Fagarasilta ja Tamas Kolozsvarilta. Heillä on lukuisia syytteitä pääsylaitepetoksista, jotka liittyvät laajalle levinneeseen salakuunteluoperaatioon Louisianan itäosassa. Jos epäillyt todetaan syylliseksi, he voivat saada jopa 15 vuoden vankeusrangaistuksen, suuret sakot ja merkittävät valvotut vapauttamisehdot.
Tämä viimeisin rikkomus korostaa sähköisen kaupankäynnin alustojen turvaamisen ja verkkosivustoihin integroitujen työkalujen huolellisen seurannan tärkeyttä väärinkäytösten estämiseksi.
