Hakerske grupe su primijećene kako koriste Google Tag Manager (GTM) za isporuku malicioznog softvera za krađu podataka sa kreditnih kartica, koji cilja e-commerce sajtove bazirane na Magento platformi.
Kompanija za sigurnost web sajtova, Sucuri, navodi da je kod, iako izgleda kao tipičan GTM i Google Analytics skript za analizu sajtova i reklame, zapravo obfuskovani backdoor koji napadačima omogućava trajni pristup.
U trenutku pisanja ovog izvještaja, pronađena su tri sajta koja su bila inficirana pomenutim GTM identifikatorom (GTM-MLHK2N68), što je smanjenje sa šest sajtova koji su prvobitno prijavljeni od strane Sucuri. GTM identifikator se odnosi na kontejner koji uključuje razne kodove za praćenje (npr. Google Analytics, Facebook Pixel) i pravila koja se aktiviraju kada su ispunjeni određeni uslovi.
Daljnja analiza je otkrila da se malver učitava iz Magento baze podataka u tabeli “cms_block.content,” pri čemu GTM tag sadrži kodirani JavaScript payload koji funkcioniše kao uređaj za krađu podataka sa kreditnih kartica.
“Ovaj skript je dizajniran da prikuplja osjetljive podatke koje korisnici unose tokom procesa naplate i šalje ih na udaljeni server pod kontrolom napadača,” izjavila je istraživačica sigurnosti, Puja Srivastava.
Po izvršenju, malver je dizajnisan da krade informacije sa kreditnih kartica sa stranica za naplatu i šalje ih na eksterni server.
Ovo nije prvi put da se GTM zlostavlja u maliciozne svrhe. U aprilu 2018. godine, Sucuri je otkrila da se ovaj alat koristi za malvertising kampanju s ciljem generisanja prihoda za operatere kroz iskačuće prozore i preusmjeravanja.
Ovaj razvoj događaja dolazi nekoliko sedmica nakon što je kompanija detaljno opisala još jednu kampanju na WordPress-u, koja je vjerovatno iskoristila ranjivosti u pluginovima ili kompromitovane administratorske račune za instalaciju malvera koji je preusmjeravao posjetioce sa sajta na maliciozne URL-ove.
Prošle sedmice, Ministarstvo pravde Sjedinjenih Američkih Država (DoJ) takođe je objavilo optužbe protiv dvojice Rumuna, Andreija Fagaraša i Tamasa Kolozsvarija, zbog njihove navodne uloge u operaciji krađe podataka sa platnih kartica.
Optuženi su za tri tačke prevare sa uređajima za pristup podacima, zbog posjedovanja skimmer uređaja na tri različite lokacije u Istočnom okrugu Louisiane.
Ako budu osuđeni, prijeti im do 15 godina zatvora, do tri godine nadziranog puštanja na slobodu, novčana kazna do 250.000 dolara i obavezna posebna taksa od 100 dolara po svakoj tački optužnice.
Izvor:The Hacker News
