Se ha observado que los actores de amenaza aprovechan el jefe de etiquetas de Google (GTM) para entregar malware de skimmer de tarjetas de crédito dirigidas a sitios web de comercio electrónico basados en Magento.
La compañía de seguridad del sitio web Sucuri dijo que el código, aunque parece ser un script distintivo de GTM y Google Analytics utilizado para fines de prospección de sitios web y publicidad, contiene una puerta trasera ofondeada capaz de proporcionar a los atacantes acercamiento persistente.
Al momento de escribir, se ha enfrentado que hasta tres sitios están infectados con el identificador GTM (GTM-MLHK2N68) en cuestión, por debajo de seis reportados por Sucuri. El identificador GTM se refiere a un contenedor que incluye los diversos códigos de seguimiento (por ejemplo, Google Analytics, Facebook Pixel) y las reglas que se activarán cuando se cumplan ciertas condiciones.
Un prospección posterior ha revelado que el malware se está cargando desde la tabla de la almohadilla de datos Magento “cms_block.content”, con la ritual GTM que contiene una carga útil de JavaScript codificada que actúa como un skimmer de plástico de crédito.
“Este script fue diseñado para resumir datos confidenciales ingresados por los usuarios durante el proceso de plazo y enviarlo a un servidor remoto controlado por los atacantes”, dijo la investigadora de seguridad Puja Srivastava.
Tras la ejecución, el malware está diseñado para robar información de la plástico de crédito de las páginas de plazo y enviarla a un servidor forastero.
Esta no es la primera vez que GTM ha sido abusado con fines maliciosos. En abril de 2018, Sucuri reveló que la utensilio se estaba aprovechando con fines malvados.
El ampliación se produce semanas a posteriori de que la compañía detallara otra campaña de WordPress que probablemente empleó vulnerabilidades en complementos o cuentas de establecimiento comprometidas para instalar malware que redirigió a los visitantes del sitio a URL maliciosas.
