Utnyttelse av Google Tag Manager
Nylige rapporter har avslørt en urovekkende trend der nettkriminelle utnytter Google Tag Manager (GTM) for å distribuere skadelig programvare for kredittkortskimmer på Magento-baserte e-handelsnettsteder. GTM, som vanligvis brukes til nettstedsanalyse og annonsering, har blitt manipulert for å gi vedvarende tilgang for angripere. Skadevaren, skjult i et tilsynelatende normalt GTM- og Google Analytics-skript, er designet for å stjele sensitive brukerdata.
Innholdsfortegnelse
Avmaskering av den ødelagte koden
Etter undersøkelser oppdaget sikkerhetseksperter at den kompromitterte GTM-taggen inneholder en skjult bakdør. Denne bakdøren lar angripere opprettholde langsiktig tilgang til infiserte nettsteder. De første funnene viste seks nettsteder infisert med samme GTM-identifikator (GTM-MLHK2N68), selv om dette tallet siden har sunket til tre. GTM-identifikatoren, i hovedsak en beholder for ulike sporingskoder og utløserregler, ble funnet å inkludere en kodet JavaScript-nyttelast som fungerer som en kredittkortskimmer.
Malwares sleipe funksjonalitet
Skadevaren kjøres fra 'cms_block.content'-tabellen i Magento-databasen. Når den er aktivert, retter den seg mot betalingssidene til berørte e-handelssider, og samler inn sensitiv kundeinformasjon som kredittkortdetaljer. De stjålne dataene sendes deretter til en ekstern server kontrollert av angriperne, og omgår effektivt tradisjonelle sikkerhetstiltak.
En historie om GTM-misbruk
Dette er ikke første gang Google Tag Manager har blitt kapret for ondsinnede formål. Tilbake i april 2018 ble GTM misbrukt i en malvertising-kampanje som hadde som mål å generere inntekter gjennom popup-vinduer og omdirigeringer. Dette nylige misbruket fremhever den vedvarende risikoen forbundet med nettkriminelle som utnytter populære nettadministrasjonsverktøy.
Rettslige handlinger og konsekvenser for nettkriminelle
I forbindelse med den bredere trenden med betalingskortskimming, har det amerikanske justisdepartementet (DoJ) siktet to rumenske statsborgere – Andrei Fagaras og Tamas Kolozsvari. De står overfor flere tilfeller av svindel med tilgangsenheter relatert til en utbredt skimming-operasjon i det østlige distriktet i Louisiana. Hvis de mistenkte blir dømt, kan de risikere opptil 15 års fengsel, høye bøter og betydelige vilkår for løslatelse.
Dette siste bruddet understreker viktigheten av å sikre e-handelsplattformer og nøye overvåke verktøyene som er integrert i nettsteder for å forhindre misbruk.
