Google Tag Manager-exploit
Recente rapporten hebben een verontrustende trend onthuld waarbij cybercriminelen de Google Tag Manager (GTM) misbruiken om creditcardskimmermalware te implementeren op Magento-gebaseerde e-commercewebsites. GTM, dat doorgaans wordt gebruikt voor websiteanalyses en advertenties, is gemanipuleerd om aanvallers permanente toegang te bieden. De malware, verborgen in een ogenschijnlijk normaal GTM- en Google Analytics-script, is ontworpen om gevoelige gebruikersgegevens te stelen.
Inhoudsopgave
Het ontmaskeren van de corrupte code
Na onderzoek ontdekten beveiligingsexperts dat de gecompromitteerde GTM-tag een verduisterde backdoor bevat. Deze backdoor stelt aanvallers in staat om op lange termijn toegang te houden tot geïnfecteerde websites. De eerste bevindingen lieten zes sites zien die geïnfecteerd waren met dezelfde GTM-identifier (GTM-MLHK2N68), hoewel dit aantal inmiddels is gedaald tot drie. De GTM-identifier, in feite een container voor verschillende trackingcodes en triggerregels, bleek een gecodeerde JavaScript-payload te bevatten die fungeerde als een creditcardskimmer.
De sluwe functionaliteit van malware
De malware wordt uitgevoerd vanuit de tabel 'cms_block.content' in de Magento-database. Eenmaal geactiveerd, richt het zich op de afrekenpagina's van de getroffen e-commercesites en verzamelt het gevoelige klantgegevens zoals creditcardgegevens. De gestolen gegevens worden vervolgens naar een externe server gestuurd die door de aanvallers wordt beheerd, waardoor traditionele beveiligingsmaatregelen effectief worden omzeild.
Een geschiedenis van GTM-misbruik
Dit is niet de eerste keer dat Google Tag Manager wordt gekaapt voor kwaadaardige doeleinden. In april 2018 werd GTM misbruikt in een malvertisingcampagne die erop gericht was om inkomsten te genereren via pop-ups en omleidingen. Dit recente misbruik benadrukt de aanhoudende risico's die gepaard gaan met cybercriminelen die populaire webbeheertools misbruiken.
Juridische maatregelen en gevolgen voor cybercriminelen
In verband met de bredere trend van skimming van betaalpassen heeft het Amerikaanse ministerie van Justitie (DoJ) twee Roemeense staatsburgers aangeklaagd: Andrei Fagaras en Tamas Kolozsvari. Ze worden geconfronteerd met meerdere aanklachten van fraude met toegangsapparaten in verband met een wijdverbreide skimmingoperatie in het oostelijke district van Louisiana. Als ze schuldig worden bevonden, kunnen de verdachten tot 15 jaar gevangenisstraf, forse boetes en aanzienlijke voorwaarden voor voorwaardelijke invrijheidstelling krijgen.
Deze laatste inbreuk onderstreept hoe belangrijk het is om e-commerceplatforms te beveiligen en de in websites geïntegreerde tools nauwlettend te monitoren om misbruik te voorkomen.
