Utnyttja Google Tag Manager
De senaste rapporterna har avslöjat en oroande trend där cyberbrottslingar utnyttjar Google Tag Manager (GTM) för att distribuera skadlig programvara för kreditkortsskimmer på Magento-baserade e-handelswebbplatser. GTM, som vanligtvis används för webbanalys och reklam, har manipulerats för att ge konstant åtkomst för angripare. Skadlig programvara, gömd i ett till synes normalt GTM- och Google Analytics-skript, är utformat för att stjäla känslig användardata.
Innehållsförteckning
Avmaskering av den korrupta koden
Efter utredning upptäckte säkerhetsexperter att den komprometterade GTM-taggen innehåller en fördunklad bakdörr. Denna bakdörr tillåter angripare att behålla långtidsåtkomst till infekterade webbplatser. De första fynden visade att sex platser var infekterade med samma GTM-identifierare (GTM-MLHK2N68), även om detta antal sedan dess har sjunkit till tre. GTM-identifieraren, i huvudsak en behållare för olika spårningskoder och triggerregler, visade sig innehålla en kodad JavaScript-nyttolast som fungerar som en kreditkortsskimmer.
Skadlig programvaras lömska funktionalitet
Skadlig programvara exekveras från tabellen 'cms_block.content' i Magento-databasen. När den har aktiverats riktar den sig mot kassasidorna på berörda e-handelswebbplatser och samlar in känslig kundinformation som kreditkortsuppgifter. Den stulna informationen skickas sedan till en extern server som kontrolleras av angriparna, vilket effektivt kringgår traditionella säkerhetsåtgärder.
En historia av GTM-missbruk
Det är inte första gången som Google Tag Manager har kapats i skadliga syften. Tillbaka i april 2018 missbrukades GTM i en malvertisingkampanj som syftade till att generera intäkter genom popup-fönster och omdirigeringar. Detta missbruk nyligen belyser de fortsatta riskerna med att cyberbrottslingar utnyttjar populära webbhanteringsverktyg.
Rättsliga åtgärder och konsekvenser för cyberbrottslingar
I samband med den bredare trenden med betalningskortsskimning har det amerikanska justitiedepartementet (DoJ) åtalat två rumänska medborgare – Andrei Fagaras och Tamas Kolozsvari. De står inför flera fall av bedrägeri med åtkomstenheter relaterade till en utbredd skumningsoperation i östra distriktet i Louisiana. Om de döms kan de misstänkta riskera upp till 15 års fängelse, rejäla böter och betydande övervakade frigivningsvillkor.
Detta senaste intrång understryker vikten av att säkra e-handelsplattformar och noggrant övervaka de verktyg som är integrerade i webbplatser för att förhindra missbruk.
