Se ha observado que actores de amenazas aprovechan Google Tag Manager (GTM) para distribuir malware de clonación de tarjetas de crédito dirigido a sitios web de comercio electrónico basados en Magento.
La empresa de seguridad de sitios web Sucuri dijo que el código, si bien parece ser un script típico de GTM y Google Analytics utilizado para análisis de sitios web y fines publicitarios, contiene una puerta trasera ofuscada capaz de proporcionar a los atacantes acceso persistente.
Al momento de escribir este artículo, se han descubierto hasta tres sitios infectados con el identificador GTM (GTM-MLHK2N68) en cuestión, en comparación con los seis informados por Sucuri. El identificador GTM se refiere a un contenedor que incluye varios códigos de seguimiento (por ejemplo, Google Analytics, Facebook Pixel) y reglas que se activan cuando se cumplen ciertas condiciones.
Un análisis más detallado ha revelado que el malware se carga desde la tabla de base de datos de Magento “cms_block.content”, y la etiqueta GTM contiene una carga útil de JavaScript codificada que actúa como un skimmer de tarjetas de crédito.
“Este script fue diseñado para recopilar datos confidenciales ingresados por los usuarios durante el proceso de pago y enviarlos a un servidor remoto controlado por los atacantes”, dijo el investigador de seguridad Puja Srivastava.
Tras su ejecución, el malware está diseñado para robar información de tarjetas de crédito de las páginas de pago y enviarla a un servidor externo.
No es la primera vez que se hace un uso indebido de GTM con fines maliciosos. En abril de 2018, Sucuri reveló que la herramienta se estaba utilizando para una campaña de publicidad maliciosa con el objetivo de generar ingresos para los operadores a través de ventanas emergentes y redireccionamientos.
El desarrollo se produce semanas después de que la compañía detallara otra campaña de WordPress que probablemente utilizó vulnerabilidades en complementos o cuentas de administrador comprometidas para instalar malware que redirigía a los visitantes del sitio a URL maliciosas.
La semana pasada, el Departamento de Justicia de Estados Unidos (DoJ) también anunció cargos contra dos ciudadanos rumanos, Andrei Fagaras y Tamas Kolozsvari, por su presunto papel en una operación de clonación de tarjetas de pago.
Han sido acusados de tres cargos de fraude de dispositivos de acceso por posesión de skimmers en tres lugares diferentes en el Distrito Este de Luisiana.
Si son declarados culpables, se enfrentan a hasta 15 años de prisión, hasta tres años de libertad supervisada, una multa de hasta $250,000 y una tarifa de evaluación especial obligatoria de $100 por cada cargo.
Fuente: thehackernews.com
