Tehdit aktörleri, Magento tabanlı e-ticaret web sitelerini hedefleyen kredi kartı skimmer kötü amaçlı yazılım sunmak için Google Tag Manager’dan (GTM) yararlandılar.
Web sitesi güvenlik şirketi Sucuri söz konusu Kod, web sitesi analizi ve reklam amaçlı kullanılan tipik bir GTM ve Google Analytics komut dosyası gibi görünse de, saldırganlara sürekli erişim sağlayabilen gizli bir arka kapı içeriyor.
Yazma olarak, Üç site Sucuri tarafından bildirilen altı kişiden, söz konusu GTM tanımlayıcısı (GTM-MLHK2N68) ile enfekte olduğu bulunmuştur. GTM tanımlayıcı bir konteyner Bu, çeşitli izleme kodlarını (örneğin Google Analytics, Facebook Pixel) ve belirli koşullar karşılandığında tetiklenecek kuralları içerir.
Daha ileri analizler, kötü amaçlı yazılımların Magento veritabanı tablosundan “CMS_BLOCK.Content” ten yüklendiğini, GTM etiketi kredi kartı sıyırıcısı olarak işlev gören kodlanmış bir JavaScript yükü içeren olduğunu ortaya koymuştur.
Güvenlik araştırmacısı Puja Srivastava, “Bu komut dosyası, ödeme işlemi sırasında kullanıcılar tarafından girilen hassas verileri toplamak ve saldırganlar tarafından kontrol edilen uzak bir sunucuya göndermek için tasarlanmıştır.” Dedi.
Yürütme üzerine, kötü amaçlı yazılım, ödeme sayfalarından kredi kartı bilgilerini çalacak ve harici bir sunucuya göndermek için tasarlanmıştır.
Bu, GTM’nin kötü niyetli amaçlar için ilk kez istismar edilmemesi değildir. Nisan 2018’de Sucuri açıklığa kavuşmuş Aracın kötü niyetli amacıyla kaldırıldığını.
Gelişme şirketten haftalar sonra geliyor ayrıntılı Site ziyaretçilerini kötü amaçlı URL’lere yönlendiren kötü amaçlı yazılım yüklemek için eklentilerde veya tehlikeye atılmış yönetici hesaplarında güvenlik açıkları kullanan başka bir WordPress kampanyası.
