
Se ha observado que los actores de amenaza aprovechan el gerente de etiquetas de Google (GTM) para entregar malware de skimmer de tarjetas de crédito dirigidas a sitios web de comercio electrónico basados en Magento.
Compañía de seguridad del sitio web Sucuri dicho El código, aunque parece ser un script típico de GTM y Google Analytics utilizado para fines de análisis de sitios web y publicidad, contiene una puerta trasera ofuscada capaz de proporcionar a los atacantes acceso persistente.
A partir de escribir, tantos como Tres sitios se ha encontrado que está infectado con el identificador GTM (GTM-MLHK2N68) en cuestión, por debajo de seis reportados por Sucuri. El identificador GTM se refiere a un recipiente Eso incluye los diversos códigos de seguimiento (por ejemplo, Google Analytics, Facebook Pixel) y las reglas que se activarán cuando se cumplan ciertas condiciones.
Un análisis posterior ha revelado que el malware se está cargando desde la tabla de la base de datos Magento “cms_block.content”, con la etiqueta GTM que contiene una carga útil de JavaScript codificada que actúa como un skimmer de tarjeta de crédito.
“Este script fue diseñado para recopilar datos confidenciales ingresados por los usuarios durante el proceso de pago y enviarlo a un servidor remoto controlado por los atacantes”, dijo la investigadora de seguridad Puja Srivastava.
Tras la ejecución, el malware está diseñado para robar información de la tarjeta de crédito de las páginas de pago y enviarla a un servidor externo.
Esta no es la primera vez que GTM ha sido abusado con fines maliciosos. En abril de 2018, Sucuri reveló que la herramienta estaba siendo apalancada con fines malvados.
El desarrollo se produce semanas después de la empresa detallado Otra campaña de WordPress que probablemente empleó vulnerabilidades en complementos o cuentas de administración comprometidas para instalar malware que redirigió a los visitantes del sitio a URL maliciosas.





