Son zamanlarda Magecart Veteran ATMZOW’un Google Etiket Yöneticisi’nin 40 yeni alan adını bulduğu bildirildi. Sonuç olarak binlerce web sitesi bu güvenlik ihlalinden etkilendi.
Bilgisayar korsanları Google Etiket Yöneticisi’nden hoşlanıyor çünkü milyonlarca web sitesi onu kullanıyor ve bu, onların çok saygın alan adı googletagmanager’dan bir komut dosyası kullanarak HTML kodu ve özel komut dosyaları eklemelerine olanak tanıyor[.]com.tr’yi Google Etiket Yöneticisi’ni kötüye kullanmak ve yeni bir kapsayıcı oluşturmak için kullanabilirsiniz.
Sucuri araştırmacıları, kötü amaçlı kodun daha yeni gizleme yöntemlerini analiz etti. Google Etiket Yöneticisi kapsayıcılarının e-ticaret kötü amaçlı yazılımlarında kullanımı da incelendi. Ayrıca, 2015’ten bu yana çeşitli Magento web sitesi enfeksiyonlarıyla ilişkilendirilen ATMZOW skimmer’ın gelişimi de takip edildi.
Ancak yeni bulunan bu GTM-TVKQ79ZS kapsayıcısında kullanılan gizleme, tüm alanları ve aktivasyon koşullarını gizlemek için ek karmaşıklık kullanır. Kod çözücü, betiğin kesin uzunluğuna bağlı olduğundan ve değişiklik yaptığınızda bozulduğundan, ATMZOW seviyesinin kodunu çözmek çok zordur.
Skimmer’ın başka bir katmanını enjekte etmek için kullanılan 40 yeni kayıtlı alan adının listesi:
Bu kez saldırganlar, iyi bilinen istatistik veya analiz hizmetleriyle bağlantılı terimleri içeren önceki ad düzeninin aksine, aşağıdaki kalıplara sahip üç İngilizce kelimenin bir karışımını kullandı:
- İlk kelime her zaman sanatla ilgilidir.
- Üçüncü kelime, alan adının bazı internet hizmetleriyle (örneğin, ölçümler, istatistikler, profil oluşturucu, içgörüler, analizler, izleyici, monitör, araç vb.) ilişkili görünmesini sağlar.
- İkinci kelime, önceki iki anahtar kelime türünün birleşiminden rastgele seçilir.
Zararlı programlama kodunun “CDN” alanlarından ikisini rastgele seçtiğini belirtmekte fayda var. Üstelik bu iki alan adı yerel olarak depolandığından, aynı tarayıcıyı her kullandığınızda sürekli olarak aynı alan adlarıyla karşılaşırsınız.
Bu teknik, saldırıda kullanılan her alanın hızlı bir şekilde tespit edilmesini ve bloke edilmesini önleyerek, kampanyanın süresinin istemeden uzatılmasını amaçlamaktadır.
Bilgisayar korsanı ayrıca aynı kötü amaçlı komut dosyasıyla GTM-NTV2JTB4 ve GTM-MX7L8F2M adlı yeni kapsayıcılar oluşturdu ve güvenliği ihlal edilmiş web sitelerini yeniden etkilemeye başladı.