Tehdit aktörleri, Magento tabanlı e-ticaret web sitelerini hedefleyen kredi kartı skimmer kötü amaçlı yazılım sunmak için Google Tag Manager’dan (GTM) yararlandılar.
Web sitesi güvenlik şirketi Sucuri, kodun, web sitesi analizi ve reklam amaçlı kullanılan tipik bir GTM ve Google Analytics komut dosyası gibi görünse de, saldırganlara sürekli erişim sağlayabilen gizlenmiş bir arka kapı içerdiğini söyledi.
Yazma itibariyle, Sucuri tarafından bildirilen altı kişiden, söz konusu GTM tanımlayıcısına (GTM-MLHK2N68) enfekte olduğu bulunmuştur. GTM tanımlayıcısı, çeşitli izleme kodlarını (örneğin Google Analytics, Facebook Pixel) içeren bir kapsayıcıyı ve belirli koşullar karşılandığında tetiklenecek kuralları ifade eder.
Daha ileri analizler, kötü amaçlı yazılımların Magento veritabanı tablosundan “CMS_BLOCK.Content” ten yüklendiğini, GTM etiketi kredi kartı sıyırıcısı olarak işlev gören kodlanmış bir JavaScript yükü içeren olduğunu ortaya koymuştur.
Güvenlik araştırmacısı Puja Srivastava, “Bu komut dosyası, ödeme işlemi sırasında kullanıcılar tarafından girilen hassas verileri toplamak ve saldırganlar tarafından kontrol edilen uzak bir sunucuya göndermek için tasarlanmıştır.” Dedi.
Yürütme üzerine, kötü amaçlı yazılım, ödeme sayfalarından kredi kartı bilgilerini çalacak ve harici bir sunucuya göndermek için tasarlanmıştır.
Bu, GTM’nin kötü niyetli amaçlar için ilk kez istismar edilmemesi değildir. Nisan 2018’de Sucuri, aracın kötü niyetli amaçlar nedeniyle kaldırıldığını açıkladı.
Geliştirme, şirketin site ziyaretçilerini kötü amaçlı URL’lere yönlendiren kötü amaçlı yazılım yüklemek için eklentilerde veya tehlikeye atılmış yönetici hesaplarında güvenlik açıkları kullanan başka bir WordPress kampanyasını detaylandırmasından haftalar sonra geliyor.