Эксплойт Google Tag Manager
Недавние отчеты выявили тревожную тенденцию, когда киберпреступники используют Google Tag Manager (GTM) для развертывания вредоносного ПО для считывания данных кредитных карт на веб-сайтах электронной коммерции на базе Magento. GTM, который обычно используется для аналитики веб-сайтов и рекламы, был изменен для предоставления постоянного доступа злоумышленникам. Вредоносное ПО, скрытое внутри, казалось бы, обычного скрипта GTM и Google Analytics, предназначено для кражи конфиденциальных данных пользователей.
Оглавление
Разоблачение испорченного кода
В ходе расследования эксперты по безопасности обнаружили, что скомпрометированный тег GTM содержит замаскированный бэкдор. Этот бэкдор позволяет злоумышленникам поддерживать долгосрочный доступ к зараженным веб-сайтам. Первоначальные результаты показали, что шесть сайтов были заражены одним и тем же идентификатором GTM (GTM-MLHK2N68), хотя с тех пор это число сократилось до трех. Было обнаружено, что идентификатор GTM, по сути являющийся контейнером для различных кодов отслеживания и правил запуска, включает закодированную полезную нагрузку JavaScript, действующую как скиммер кредитных карт.
Скрытая функциональность вредоносного ПО
Вредоносная программа запускается из таблицы 'cms_block.content' в базе данных Magento. После активации она атакует страницы оформления заказа на зараженных сайтах электронной коммерции, собирая конфиденциальную информацию о клиентах, например данные кредитных карт. Затем украденные данные отправляются на внешний сервер, контролируемый злоумышленниками, что фактически обходит традиционные меры безопасности.
История злоупотребления GTM
Это не первый случай, когда Google Tag Manager был взломан в вредоносных целях. Еще в апреле 2018 года GTM был использован не по назначению в вредоносной рекламной кампании, целью которой было получение дохода с помощью всплывающих окон и перенаправлений. Это недавнее злоупотребление подчеркивает сохраняющиеся риски, связанные с использованием киберпреступниками популярных инструментов управления веб-сайтами.
Правовые действия и последствия для киберпреступников
В связи с более широкой тенденцией скимминга платежных карт Министерство юстиции США (DoJ) предъявило обвинения двум гражданам Румынии — Андрею Фэгэрашу и Тамашу Колозвари. Им предъявлены многочисленные обвинения в мошенничестве с устройствами доступа, связанные с широкомасштабной операцией скимминга в Восточном округе Луизианы. В случае признания виновными подозреваемым может грозить до 15 лет тюрьмы, крупные штрафы и значительные сроки надзора.
Последняя утечка подчеркивает важность обеспечения безопасности платформ электронной коммерции и тщательного мониторинга инструментов, интегрированных в веб-сайты, для предотвращения злоупотреблений.
