Gli attori delle minacce sono stati osservati sfruttando Google Tag Supervisor (GTM) per consegnare i siti Internet di e-commerce di Magento basati su Magento.
SUBILE DI SICUREZZA SUBILITÀ SUCURI disse Il codice, pur sembrando essere uno tipico script GTM e Google Analytics utilizzato per gli scopi di analisi del sito Internet e pubblicità, contiene un backdoor offuscato in grado di fornire agli aggressori un accesso persistente.
Al momento della stesura, quanti Tre siti sono stati trovati infettati dall’identificatore GTM (GTM-MLHK2N68) in questione, in calo da sei segnalate da Sucuri. L’identificatore GTM si riferisce a a contenitore Ciò embody i vari codici di tracciamento (advert es. Google Analytics, Fb Pixel) e le regole da attivare quando sono soddisfatte determinate condizioni.
Ulteriori analisi hanno rivelato che il malware viene caricato dalla tabella del database Magento “CMS_BLOCK.CONTENT”, con il tag GTM contenente un payload JavaScript codificato che funge da skimmer della carta di credito.
“Questo script è stato progettato per raccogliere dati sensibili inseriti dagli utenti durante il processo di pagamento e inviarli a un server remoto controllato dagli aggressori”, ha affermato il ricercatore della sicurezza Puja Srivastava.
Al momento dell’esecuzione, il malware è progettato per liberare le informazioni sulla carta di credito dalle pagine di checkout e inviarle a un server esterno.
Questa non è la prima volta che GTM è stata abusata per scopi dannosi. Nell’aprile 2018, Sucuri rivelato che lo strumento veniva sfruttato per scopi di malverting.
Lo sviluppo arriva settimane dopo l’azienda dettagliato Un’altra campagna WordPress che probabilmente impiegava vulnerabilità in plugin o conti di amministrazione compromessa per installare malware che reindirizzavano i visitatori del sito a URL dannosi.
