Експлойт Менеджера тегів Google
Нещодавні звіти виявили тривожну тенденцію, коли кіберзлочинці використовують Google Tag Manager (GTM) для розгортання зловмисного програмного забезпечення кредитних карток на веб-сайтах електронної комерції на основі Magento. GTM, який зазвичай використовується для аналітики веб-сайтів і реклами, маніпулював, щоб забезпечити постійний доступ для зловмисників. Зловмисне програмне забезпечення, приховане в начебто звичайному GTM і сценарії Google Analytics, призначене для крадіжки конфіденційних даних користувачів.
Зміст
Викриття зіпсованого коду
Під час дослідження експерти з безпеки виявили, що скомпрометований тег GTM містить прихований бекдор. Цей бекдор дозволяє зловмисникам підтримувати тривалий доступ до заражених веб-сайтів. Початкові висновки показали, що шість сайтів були заражені одним і тим же ідентифікатором GTM (GTM-MLHK2N68), але згодом це число впало до трьох. Виявлено, що ідентифікатор GTM, по суті контейнер для різних кодів відстеження та правил запуску, містить закодований корисний код JavaScript, який діє як скіммер кредитної картки.
Прихована функція шкідливого програмного забезпечення
Зловмисне програмне забезпечення запускається з таблиці cms_block.content у базі даних Magento. Після активації він націлюється на сторінки оформлення замовлення на заражених сайтах електронної комерції, збираючи конфіденційну інформацію про клієнтів, наприклад дані кредитної картки. Потім викрадені дані надсилаються на зовнішній сервер, контрольований зловмисниками, фактично в обхід традиційних заходів безпеки.
Історія зловживання GTM
Це не перший випадок, коли Менеджер тегів Google викрадають зі зловмисною метою. Ще в квітні 2018 року GTM було зловживано в кампанії шкідливої реклами, метою якої було отримання прибутку за допомогою спливаючих вікон і перенаправлення. Це нещодавнє зловживання підкреслює постійні ризики, пов’язані з використанням популярних інструментів веб-керування зловмисниками.
Судові дії та наслідки для кіберзлочинців
У зв’язку з ширшою тенденцією скімінгу платіжних карт Міністерство юстиції США (DoJ) висунуло звинувачення двом громадянам Румунії — Андрею Фагарашу та Тамашу Колозварі. Вони стикаються з кількома пунктами шахрайства з пристроями доступу, пов’язаними з широкомасштабною операцією скіммінгу в Східному окрузі Луїзіани. У разі доведення вини підозрюваним може загрожувати до 15 років позбавлення волі, значні штрафи та значні терміни звільнення під наглядом.
Це останнє порушення підкреслює важливість захисту платформ електронної комерції та ретельного моніторингу інструментів, інтегрованих у веб-сайти, для запобігання зловживанням.
