Sfruttamento di Google Tag Manager
Rapporti recenti hanno rivelato una tendenza inquietante in cui i criminali informatici stanno sfruttando Google Tag Manager (GTM) per distribuire malware skimmer di carte di credito su siti di e-commerce basati su Magento. GTM, che è in genere utilizzato per analisi e pubblicità di siti Web, è stato manipolato per fornire un accesso persistente agli aggressori. Il malware, nascosto all'interno di uno script GTM e Google Analytics apparentemente normale, è progettato per rubare dati sensibili degli utenti.
Sommario
Smascherare il codice corrotto
Dopo aver indagato, gli esperti di sicurezza hanno scoperto che il tag GTM compromesso contiene una backdoor offuscata. Questa backdoor consente agli aggressori di mantenere un accesso a lungo termine ai siti Web infetti. I risultati iniziali hanno mostrato sei siti infetti con lo stesso identificatore GTM (GTM-MLHK2N68), sebbene questo numero sia sceso a tre. L'identificatore GTM, essenzialmente un contenitore per vari codici di tracciamento e regole di attivazione, è stato scoperto includere un payload JavaScript codificato che funge da skimmer per carte di credito.
La funzionalità subdola del malware
Il malware viene eseguito dalla tabella 'cms_block.content' all'interno del database Magento. Una volta attivato, prende di mira le pagine di pagamento dei siti di e-commerce interessati, raccogliendo informazioni sensibili dei clienti come i dettagli della carta di credito. I dati rubati vengono quindi inviati a un server esterno controllato dagli aggressori, aggirando di fatto le misure di sicurezza tradizionali.
Una storia di abuso di GTM
Non è la prima volta che Google Tag Manager viene dirottato per scopi malevoli. Ad aprile 2018, GTM è stato utilizzato in modo improprio in una campagna di malvertising che mirava a generare entrate tramite pop-up e reindirizzamenti. Questo recente abuso evidenzia i rischi continui associati ai criminali informatici che sfruttano popolari strumenti di gestione web.
Azioni legali e conseguenze per i criminali informatici
In relazione alla tendenza più ampia dello skimming delle carte di pagamento, il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha incriminato due cittadini rumeni, Andrei Fagaras e Tamas Kolozsvari. Devono affrontare molteplici accuse di frode sui dispositivi di accesso relative a un'operazione di skimming diffusa nel distretto orientale della Louisiana. Se condannati, i sospettati potrebbero affrontare fino a 15 anni di carcere, pesanti multe e significative pene di libertà vigilata.
Questa ultima violazione sottolinea l'importanza di proteggere le piattaforme di e-commerce e di monitorare attentamente gli strumenti integrati nei siti web per prevenire abusi.
