Se ha observado que los actores de amenazas aprovechan Google Tag Manager (GTM) para distribuir malware de skimmer de tarjetas de crédito dirigido a sitios web de comercio electrónico basados en Magento.
La compañía de seguridad de sitios web Sucuri dijo que el código, aunque parece ser un script típico de GTM y Google Analytics utilizado para fines publicitarios y de análisis de sitios web, contiene una puerta trasera ofuscada capaz de proporcionar a los atacantes acceso persistente.
Al momento de escribir este artículo, se ha encontrado que hasta tres sitios están infectados con el identificador GTM (GTM-MLHK2N68) en cuestión, en comparación con los seis reportados por Sucuri. El identificador GTM se refiere a un contenedor que incluye los diversos códigos de seguimiento (por ejemplo, Google Analytics, Facebook Pixel) y las reglas que se activan cuando se cumplen ciertas condiciones.
Un análisis más detallado ha revelado que el malware se está cargando desde la tabla de la base de datos de Magento "cms_block.content", con la etiqueta GTM que contiene una carga útil de JavaScript codificada que actúa como un skimmer de tarjetas de crédito.
"Este script fue diseñado para recopilar datos confidenciales ingresados por los usuarios durante el proceso de pago y enviarlos a un servidor remoto controlado por los atacantes", dijo el investigador de seguridad Puja Srivastava.
Tras su ejecución, el malware está diseñado para robar la información de la tarjeta de crédito de las páginas de pago y enviarla a un servidor externo.
Esta no es la primera vez que se abusa de GTM con fines maliciosos. En abril de 2018, Sucuri reveló que la herramienta estaba siendo aprovechada con fines de publicidad maliciosa.
El desarrollo se produce semanas después de que la compañía detallara otra campaña de WordPress que probablemente empleaba vulnerabilidades en complementos o cuentas de administrador comprometidas para instalar malware que redirigía a los visitantes del sitio a URL maliciosas.
Esta no es la primera vez que se abusa de GTM con fines maliciosos. En abril de 2018, Sucuri reveló que la herramienta estaba siendo aprovechada con fines de publicidad maliciosa.
El desarrollo se produce semanas después de que la compañía detallara otra campaña de WordPress que probablemente empleaba vulnerabilidades en complementos o cuentas de administrador comprometidas para instalar malware que redirigía a los visitantes del sitio a URL maliciosas.
