В интернет е пълно с хакери, които търсят уязвимост на сайтовете, за да инжектират злонамерен скрипт в сайтове за електронна търговия, базирани на Magento. Злонамереният код се зарежда от Google Tag Manager, това им позволява да откраднат номерата на кредитните карти, когато клиенти плащат. Използват задна врата на PHP, за да се запази кодът на сайта и да се откраднат потребителски данни.
Скимерът на кредитната карта е открит от изследователи по сигурността в Sucuri, които съобщават, че зловредният софтуер е бил зареден от таблица с база данни, cms_block.content. Скриптът на Google Tag Manager (GTM) на уеб сайт изглежда нормално, тъй като злонамереният скрипт е кодиран да избягва откриването.
След като злонамереният софтуер беше активен, той записваше информация за кредитна карта от страница за плащане на електронна търговия на Magento и я изпращаше на външен сървър, контролиран от хакер.
Изследователите по сигурността на Sucuri също откриха PHP файл със задна врата. PHP файловете са „градивните елементи“ на много динамични уеб сайтове, изградени на платформи като Magento, WordPress, Drupal и Joomla. По този начин злонамерен PHP файл, веднъж инжектиран, може да работи в рамките на системата за управление на съдържанието.
Това е PHP файлът, който изследователите идентифицираха:
./media/index.php.
По време на писането на тази статия установихме, че най-малко 6 уебсайта в момента са заразени с този конкретен идентификатор на Google Tag Manager, което показва, че тази заплаха активно засяга множество сайтове.
eurowebmonitortool[.]com се използва в тази злонамерена кампания и в момента е блокиран от 15 доставчици на сигурност във VirusTotal.“
Какво е Google Tag Manager?
Google Tag Manager (GTM) е безплатен инструмент от Google, който позволява на собствениците на уебсайтове да управляват и внедряват маркетингови тагове на своя уебсайт, без да е необходимо да променят директно кода на сайта. Той опростява процеса на добавяне и актуализиране на тагове за неща като Google Analytics, AdWords, Facebook Pixel и други, като улеснява търговците да проследяват активността на уебсайта и да оптимизират кампаниите, без да включват разработчици всеки път, когато е необходима промяна.
Маркерът <script>зарежда JavaScript файла на Google Tag Manager (GTM), което ви позволява да управлявате и внедрявате тагове на уебсайта си, като използвате посочения идентификатор на GTM контейнер (GTM-ID).
Проследяване на източника на злонамерения софтуер
По време на нашето разследване извършихме задълбочено проучване на файловете на уебсайта, като проверихме за подозрителен или непознат код. Не след дълго установихме, че зловредният софтуер се зарежда от таблицата на базата данни cms_block.content.
Заключение
Тази атака, базирана на GTM, демонстрира сложността на съвременния зловреден софтуер, използващ легитимни платформи като Google Tag Manager за внедряване на зловреден код. Техниките за обърканост и кодиране го правят особено трудно за откриване, което изисква задълбочено проучване, за да се разкрие истинската му цел.
Бъдете на сигурно място и проучете всички скриптове, които намирате за странни или непознати. Бъдете критични към всички скриптове, които не са поставени от администратор на уебсайт, те може да са знак за потенциален компромет. Изключително важно е да извършите задълбочен одит, ако подозирате, че уебсайтът ви е заразен, и да изчистите всички подозрителни тагове или скриптове, за да предотвратите по-нататъшна кражба на данни.
Стъпки за отстраняване
За да коригирате базирания на Google Tag Manager злонамерен софтуер:
- Премахнете всички подозрителни GTM тагове. Влезте в GTM, идентифицирайте и изтрийте всички подозрителни тагове.
- Извършете пълно сканиране на уебсайта, за да откриете друг зловреден софтуер или задни вратички.
- Премахнете всички злонамерени скриптове или задни файлове .
- Уверете се, че Magento и всички разширения са актуални с корекции за сигурност.
- Редовно следете трафика на сайта и GTM за всякакви необичайни дейности.