Google Tag Manager viene utilizzato per implementare Web Skimmer sui siti di e-commerce

Gli analisti di Recorded Future hanno notato che gli hacker utilizzano Google Tag Manager (GTM) contenitori per iniettare skimmer elettronici che poi rubano i dettagli delle carte bancarie e le informazioni personali degli acquirenti sui siti di e-commerce.

Permettetemi di ricordarvi che abbiamo parlato anche del Sviluppatore di software per l'e-commerce FishPig Violato durante un massiccio attacco alla catena di fornitura.

GTM viene utilizzato su migliaia di siti per varie metriche, tracciamento del cliente, e altri scopi di marketing. GTM utilizza contenitori per incorporare JavaScript e altre risorse sui siti web, e i criminali hanno imparato a nascondere script dannosi nei contenitori GTM, che consente loro di rubare informazioni personali ai clienti.

In totale, i ricercatori hanno scoperto 569 domini di e-commerce infetti da skimmer web. Secondo il rapporto, 314 di loro è stato confermato che erano infetti da skimmer GTM, mentre un altro 255 ha inviato dati rubati a domini dannosi collegati all'abuso di GTM.

A partire da agosto 25, 2022, Quasi 90 di questi domini erano ancora infetti, e i ricercatori dicono che ci vogliono gli amministratori, in media, più di tre mesi per riparare una violazione.

Attualmente, più di 165,000 le carte di pagamento appartenenti alle vittime di attacchi associate ai contenitori GTM sono ospitate nei negozi di carte del dark web. È probabile che il numero totale di carte di pagamento compromesse dai web skimmer GTM sia ancora più elevato.scrivono i ricercatori.

Allo stesso tempo, gli esperti lo notano, a giudicare dalle discussioni sul rete oscura, l'abuso di GTM è iniziato nel 2018, ed era già utilizzato allora da vari gruppi di hacker.

Abbiamo segnalato per la prima volta un abuso di GTM in a 2021 rapporto, e i GTM sono fortemente sfruttati fino ad oggi. In alcuni casi, vengono utilizzati gli stessi bucket GTM dannosi segnalati l'anno scorso. Riteniamo che l'utilizzo di GTM rimarrà invariato a meno che Google risolve il problema e implementa la scansione attiva per rilevare i carichi utili dello skimmer all'interno dei bucket GTM.

Futuro registrato ha iniziato a monitorare l'uso di tre varianti di skimmer GTM a marzo 2021 e rileva che da allora ogni mese sono stati aggiunti nuovi domini infetti.

La prima e la terza versione degli schiumatoi presentano una certa somiglianza, il che suggerisce che dietro la loro creazione ci siano gli stessi hacker e che aggiornino regolarmente i loro strumenti per evitare di essere scoperti.

Tutte e tre le opzioni utilizzano script e domini skimmer separati per estrarre i dati. Tutte e tre le opzioni sono attualmente utilizzate per le infezioni attive e sono state implementate per infettare nuovi domini in agosto 2022, il che significa che tutte e tre le opzioni rappresentano un rischio per i siti di e-commerce e i loro clienti.dicono i ricercatori.

Allo stesso tempo, è noto che gli hacker non prendono di mira solo “costoso” domini, che contano più di un milione di visitatori al mese. Alcuni dei siti attaccati avevano solo circa 10,000 visitatori.

La maggior parte dei siti interessati ha sede negli Stati Uniti, rappresentando più di 66% delle infezioni. Il resto è stato trovato in Canada, Gran Bretagna, Argentina, India, Italia, Australia, Brasile, Grecia, Indonesia e altri paesi.