Atuantes maliciosos foram observados utilizando o Google Tag Manager (GTM) para distribuir malware de skimming de cartões de crédito, visando websites de e-commerce baseados no Magento.
A empresa de segurança de websites Sucuri afirmou que o código, embora pareça ser um script típico do GTM e Google Analytics usado para análises de website e propósitos de publicidade, contém um backdoor ofuscado capaz de fornecer aos atacantes acesso persistente.
Até o momento, três sites foram encontrados infectados com o identificador GTM (GTM-MLHK2N68) em questão, reduzido de seis, conforme relatado pela Sucuri.
O identificador GTM refere-se a um contêiner que inclui os diversos códigos de rastreamento (ex.: Google Analytics, Facebook Pixel) e regras a serem acionadas quando certas condições são atendidas.
Análises adicionais revelaram que o malware está sendo carregado da tabela "cms_block.content" do banco de dados Magento, com a tag GTM contendo um payload de JavaScript codificado que age como um skimmer de cartões de crédito.
"Este script foi projetado para coletar dados sensíveis inseridos pelos usuários durante o processo de checkout e enviá-los para um servidor remoto controlado pelos atacantes", disse o pesquisador de segurança Puja Srivastava.
Após a execução, o malware é desenhado para furtar informações de cartões de crédito das páginas de checkout e enviá-las para um servidor externo.
Esta não é a primeira vez que o GTM é abusado para fins maliciosos.
Em abril de 2018, a Sucuri revelou que a ferramenta estava sendo utilizada em uma campanha de malvertising com o objetivo de gerar receita para os operadores através de pop-ups e redirecionamentos.
O desenvolvimento vem semanas após a empresa detalhar outra campanha no WordPress que provavelmente empregou vulnerabilidades em plugins ou contas de administração comprometidas para instalar malware que redirecionava visitantes do site para URLs maliciosas.
Na semana passada, o Departamento de Justiça dos EUA (DoJ) também anunciou acusações contra dois cidadãos romenos, Andrei Fagaras e Tamas Kolozsvari, sobre seu suposto papel em uma operação de skimming de cartões de pagamento.
Eles foram indiciados por três acusações de fraude de dispositivo de acesso por possuir skimmers em três locais diferentes no Distrito Leste da Louisiana.
Se condenados, eles enfrentam até 15 anos de prisão, até três anos de liberação supervisionada, uma multa de até $250.000, e uma taxa especial de avaliação obrigatória de $100, para cada acusação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...