JavaScript-скиммеры в GTM: новая угроза для интернет-магазинов

Злоумышленники используют Google Tag Manager (GTM) для распространения вредоносного ПО, нацеленного на кражу данных банковских карт с интернет-магазинов, работающих на платформе Magento. По данным Sucuri, код маскируется под скрипты Google Analytics и рекламные теги, но содержит скрытую бэкдор-функциональность, позволяющую злоумышленникам сохранять доступ ко взломанным сайтам.

Обнаружено, что заражённые сайты используют GTM-идентификатор GTM-MLHK2N68. Первоначально таких сайтов было шесть, но позже их число сократилось до трёх. GTM-контейнеры обычно включают различные аналитические и рекламные коды, срабатывающие при выполнении заданных условий. Однако в данном случае злоумышленники скрыли в них вредоносный JavaScript, загруженный из таблицы базы данных Magento «cms_block.content». Этот код действует как скиммер, перехватывая данные пользователей на страницах оплаты.

Вредоносный скрипт записывает введённые пользователями данные банковских карт и отправляет их на сервер, находящийся под контролем атакующих. Специалисты Sucuri отмечают, что подобный метод атаки уже применялся ранее. В 2018 году злоумышленники использовали GTM для вредоносной рекламы, направленной на перенаправление пользователей на мошеннические сайты.

Подобные атаки демонстрируют, насколько уязвимыми могут быть легитимные инструменты веб-аналитики, если их безопасность не контролируется должным образом. Использование GTM в качестве механизма внедрения вредоносного кода показывает, что злоумышленники адаптируются к защитным мерам и находят новые способы компрометации веб-ресурсов, нацеливаясь на доверенные сервисы.

Специалисты советуют владельцам интернет-магазинов регулярно проверять содержимое своих GTM-контейнеров и базы данных на наличие подозрительных скриптов, а также усиливать защиту учётных записей администраторов.