据网络安全公司 Sucuri 报告,威胁行为者正在利用 Google Tag Manager(GTM)向基于 Magento 的电商网站部署信用卡窃取恶意软件。

这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本,但实际上包含了一个混淆的后门,能够为攻击者提供持续访问权限。截至发稿时,已有三个网站被发现感染了相关 GTM 标识符(GTM-MLHK2N68),低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码(如 Google Analytics、Facebook Pixel)和在满足特定条件时触发的规则的容器。

进一步分析显示,恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的,GTM 标签包含一个编码的 JavaScript 负载,用作信用卡窃取器。安全研究员 Puja Srivastava 表示:“该脚本旨在收集用户在结账过程中输入的敏感数据,并将其发送到攻击者控制的远程服务器。”

恶意软件执行后,会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月,Sucuri 曾揭露该工具被用于恶意广告活动。

此次事件发生在该公司详细描述另一场 WordPress 活动数周之后,该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件,将网站访客重定向至恶意 URL。

本文转自https://hackernews.cc/archives/57278