Google Tag Manager Exploit
Relatórios recentes revelaram uma tendência perturbadora na qual os cibercriminosos estão explorando o Google Tag Manager (GTM) para implantar malware skimmer de cartão de crédito em sites de comércio eletrônico baseados em Magento. O GTM, que normalmente é usado para análise e publicidade de sites, foi manipulado para fornecer acesso persistente para invasores. O malware, oculto em um script aparentemente normal do GTM e do Google Analytics, é projetado para roubar dados confidenciais do usuário.
Índice
Desmascarando o Código Corrompido
Após investigação, especialistas em segurança descobriram que a tag GTM comprometida contém um backdoor ofuscado. Esse backdoor permite que invasores mantenham acesso de longo prazo a sites infectados. As descobertas iniciais mostraram seis sites infectados com o mesmo identificador GTM (GTM-MLHK2N68), embora esse número tenha caído para três. O identificador GTM, essencialmente um contêiner para vários códigos de rastreamento e regras de gatilho, foi encontrado para incluir uma carga útil JavaScript codificada agindo como um skimmer de cartão de crédito.
A Funcionalidade Furtiva do Malware
O malware é executado a partir da tabela 'cms_block.content' dentro do banco de dados Magento. Uma vez ativado, ele tem como alvo as páginas de checkout dos sites de e-commerce afetados, coletando informações confidenciais do cliente, como detalhes do cartão de crédito. Os dados roubados são então enviados para um servidor externo controlado pelos invasores, efetivamente ignorando as medidas de segurança tradicionais.
Uma História de A buso de GTM
Esta não é a primeira vez que o Google Tag Manager é sequestrado para fins maliciosos. Em abril de 2018, o GTM foi usado indevidamente em uma campanha de malvertising que visava gerar receita por meio de pop-ups e redirecionamentos. Este abuso recente destaca os riscos contínuos associados a criminosos cibernéticos que exploram ferramentas populares de gerenciamento da web.
Ação Legal e Consequências para os Cibercriminosos
Em conexão com a tendência mais ampla de skimming de cartão de pagamento, o Departamento de Justiça dos EUA (DoJ) acusou dois cidadãos romenos — Andrei Fagaras e Tamas Kolozsvari. Eles estão enfrentando várias acusações de fraude de dispositivo de acesso relacionadas a uma operação de skimming generalizada no Distrito Leste da Louisiana. Se condenados, os suspeitos podem pegar até 15 anos de prisão, multas pesadas e termos significativos de liberdade supervisionada.
Esta última violação ressalta a importância de proteger plataformas de comércio eletrônico e monitorar cuidadosamente as ferramentas integradas aos sites para evitar abusos.
