Wykorzystanie Menedżera tagów Google
Ostatnie raporty ujawniły niepokojący trend, w którym cyberprzestępcy wykorzystują Google Tag Manager (GTM) do wdrażania złośliwego oprogramowania do skanowania kart kredytowych na stronach e-commerce opartych na Magento. GTM, który jest zwykle używany do analizy stron internetowych i reklam, został zmanipulowany w celu zapewnienia atakującym stałego dostępu. Złośliwe oprogramowanie, ukryte w pozornie normalnym skrypcie GTM i Google Analytics, ma na celu kradzież poufnych danych użytkowników.
Spis treści
Demaskowanie uszkodzonego kodu
Po zbadaniu sprawy eksperci ds. bezpieczeństwa odkryli, że naruszony tag GTM zawiera zamaskowany backdoor. Ten backdoor umożliwia atakującym utrzymanie długoterminowego dostępu do zainfekowanych witryn. Wstępne ustalenia wykazały, że sześć witryn zostało zainfekowanych tym samym identyfikatorem GTM (GTM-MLHK2N68), chociaż liczba ta spadła do trzech. Identyfikator GTM, będący zasadniczo kontenerem dla różnych kodów śledzenia i reguł wyzwalających, zawierał zakodowany ładunek JavaScript działający jako skimmer kart kredytowych.
Podstępna funkcjonalność złośliwego oprogramowania
Malware jest uruchamiany z tabeli 'cms_block.content' w bazie danych Magento. Po aktywacji atakuje strony płatności zainfekowanych witryn e-commerce, zbierając poufne informacje o klientach, takie jak dane kart kredytowych. Następnie skradzione dane są wysyłane na zewnętrzny serwer kontrolowany przez atakujących, skutecznie omijając tradycyjne środki bezpieczeństwa.
Historia nadużyć GTM
To nie pierwszy raz, kiedy Google Tag Manager został przejęty w złośliwych celach. W kwietniu 2018 r. GTM został niewłaściwie wykorzystany w kampanii reklamowej, której celem było generowanie przychodów za pomocą wyskakujących okienek i przekierowań. To ostatnie nadużycie podkreśla ciągłe ryzyko związane z wykorzystywaniem przez cyberprzestępców popularnych narzędzi do zarządzania witryną.
Działania prawne i konsekwencje dla cyberprzestępców
W związku z szerszym trendem skimmingu kart płatniczych Departament Sprawiedliwości USA (DoJ) oskarżył dwóch obywateli Rumunii — Andreia Fagarasa i Tamasa Kolozsvariego. Grozi im wiele zarzutów oszustwa związanego z urządzeniami dostępowymi w związku z szeroko zakrojoną operacją skimmingu w Dystrykcie Wschodnim Luizjany. W przypadku skazania podejrzani mogą zostać skazani na karę do 15 lat więzienia, wysokie grzywny i znaczne okresy zwolnienia warunkowego.
Najnowsze naruszenie bezpieczeństwa podkreśla, jak ważne jest zabezpieczenie platform handlu elektronicznego i uważne monitorowanie narzędzi zintegrowanych ze stronami internetowymi w celu zapobiegania nadużyciom.
